(Security).NET/C# megakadályozza a könyvtárak közötti letöltési hozzáférést

Kis szemét · Közzétéve 2021. 04. 07. 11:57:38

Forgatókönyv: Van egy API interfész, amely eléri az útvonalparamétereket, bizonyos szabályokon keresztül teljesíti a fájlútot, majd válaszol a felhasználó letöltésére.

Request:
GET /download_page?id=content.dat HTTP/1.1

Request:
GET /download_page?id=.. %2f.. %2fweb.config HTTP/1.1(Ez letölti a szerver web.config fájlját）

Tegyük fel, hogy D:\storage\123 a tároló gyökérkönyvtára, és minden tárolt fájl abban a könyvtárban van, amikor a felhasználó hozzáadja az útvonalat : . A szimbólum keresztezhető az előző könyvtár alatt, és az URL paraméter a következők által továbbítható: /.. / Könnyű hozzáférés érzékeny erőforrásokhoz és letöltésekhez.

megoldás

Nézzük meg először a rendereléseket:

A kódex a következő:

A bejelentkezés látható.

[Forrás] (Security).NET/C# megakadályozza a könyvtárak közötti letöltési hozzáférést

Kapcsolódó bejegyzések

Megtekintett szakaszok