收藏本站[收不到邮件][导航]
架构师,致力于程序员计算机编程知识交流的一个平台!

架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

架构师_程序员_码农网»架构师 编程开发&Programming .Net/C# (安全).NET/C# 防止跨目录访问下载
返回列表 发新帖
查看: 21963|回复: 0

[资料] (安全).NET/C# 防止跨目录访问下载

[复制链接]
小渣渣
发表于 2021-4-7 11:57:38 | 显示全部楼层 |阅读模式
场景:有一个 api 接口,接收路径参数,通过一定的规则完整的文件路径,然后响应给用户下载,简单来说,就是下载接口。

Request:
GET /download_page?id=content.dat HTTP/1.1

Request:
GET /download_page?id=..%2f..%2fweb.config HTTP/1.1(这样就将服务器的 web.config 文件下载

假设 D:\storage\123 为存储的根目录,所有存储的文件在该目录下,当用户将路径加上 .. 符号的时候就可以跨到上一个目录下面,url 参数通过传递 ../../ 很容易访问到敏感的资源并且下载。

解决方案

先看效果图:

QQ截图20210407114749.jpg

代码如下:



安全




上一篇:国内外常用的MD5在线解密网站
下一篇:禁止用户登陆的 /bin/false 和 /sbin/nologin 的区别

相关帖子

码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。
Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-4-24 14:32

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表