Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Programmation .Net/C # (Security).NET/C# empêche l’accès inter-répertoire aux téléchargements
Vue: 49598|Répondre: 0

[Source] (Security).NET/C# empêche l’accès inter-répertoire aux téléchargements

[Copié le lien]
Publié le 07-04-2021 à 11:57:38 | | | |
Scénario : Il existe une interface API qui reçoit les paramètres de chemin, complète le chemin du fichier à travers certaines règles, puis répond au téléchargement à l’utilisateur.

Request:
GET /download_page ?id=content.dat HTTP/1.1

Request:
GET /download_page ?id=.. %2f... %2fweb.config HTTP/1.1(Cela télécharge le fichier web.config du serveur

Supposons que D :\storage\123 soit le répertoire racine du magasin, et que tous les fichiers stockés se trouvent dans ce répertoire, lorsque l’utilisateur ajoute le chemin vers : . symbole peut être coupé sous le répertoire précédent, et le paramètre URL est passé par : /.. / Accès facile aux ressources sensibles et aux téléchargements.

solution

Jetons d’abord un coup d’œil aux rendus :



Le code est le suivant :







Précédent:Site web de décryptage en ligne MD5 couramment utilisé au pays et à l’étranger
Prochain:La différence entre /bin/false et /sbin/nologin, qui interdit aux utilisateurs de se connecter

Articles connexes
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com