繁体 English 中英

不验证此Web服务中的用户输入会有什么风险？

[英]What are the risks of not validating user input in this web service?

原文 2013-10-22 05:30:59 5 1 python/ web-services/ security

我正在查看一个数据导出Web服务，该服务：

将文件名作为输入（仅是名称，而不是完整路径）
使用目录字符串常量连接文件的完整路径
压缩文件
将网址返回到位于网络可访问目录中的输出zip文件

如果未对输入文件名进行任何验证（例如，该文件是否存在 ），那么Web服务可能会对恶意用户造成哪些潜在风险/漏洞？

1 个解决方案

假设您的directory字符串常量为"/tmp/files"

攻击者可以提供"../../etc/passwd"

>>> import os
>>> os.path.abspath(directory + "../../etc/passwd")
'/etc/passwd'

您至少要将输入分解为基本名称

>>> os.path.join("/tmp/files", os.path.basename("../../etc/passwd")
/tmp/files/passwd

将python连接到网络并验证用户输入的基础

[英]Basics of connecting python to the web and validating user input

在python中验证用户输入字符串

[英]validating user input string in python

在Python中验证用户输入字符串

[英]Validating user input strings in Python

ISBN Checker-验证用户输入

[英]ISBN Checker - validating user input

是否有用于处理和验证用户输入的 Python 库？

[英]Is there a Python library for handling and validating user input?

使用tkinter条目python 3验证用户输入

[英]Validating user input using tkinter entry python 3

验证Python中用户输入的正确拼写

[英]Validating correct spelling of user input in Python

使用用户输入验证生成的验证码

[英]Validating generated Captcha with User's input

运行“sudo pip”有什么风险？

[英]What are the risks of running 'sudo pip'?

验证任务管理器 CLI 的用户输入时遇到问题

[英]Having trouble validating user input for a task manager CLI

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 将python连接到网络并验证用户输入的基础在python中验证用户输入字符串在Python中验证用户输入字符串 ISBN Checker-验证用户输入是否有用于处理和验证用户输入的 Python 库？使用tkinter条目python 3验证用户输入验证Python中用户输入的正确拼写使用用户输入验证生成的验证码运行“sudo pip”有什么风险？验证任务管理器 CLI 的用户输入时遇到问题

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM