架构师_程序员_码农网

查看: 59|回复: 0

[资料] (安全).NET/C# 防止跨目录访问下载

[复制链接]
发表于 6 天前 | 显示全部楼层
场景:有一个 api 接口,接收路径参数,通过一定的规则完整的文件路径,然后响应给用户下载,简单来说,就是下载接口。

Request:
GET /download_page?id=content.dat HTTP/1.1

Request:
GET /download_page?id=..%2f..%2fweb.config HTTP/1.1(这样就将服务器的 web.config 文件下载

假设 D:\storage\123 为存储的根目录,所有存储的文件在该目录下,当用户将路径加上 .. 符号的时候就可以跨到上一个目录下面,url 参数通过传递 ../../ 很容易访问到敏感的资源并且下载。

解决方案

先看效果图:

QQ截图20210407114749.jpg

代码如下:







上一篇:国内外常用的MD5在线解密网站
下一篇:禁止用户登陆的 /bin/false 和 /sbin/nologin 的区别
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2021-4-13 09:01

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表