目录遍历漏洞原理、解决方案

一、目录遍历漏洞

目录遍历（路径遍历）是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件（可以使web根目录以外的文件），甚至执行系统命令。

存在的危害

• 读取的文件可能包括应用程序代码和数据、后端系统的凭据以及敏感的操作系统文件等。
• 在某些情况下，攻击者可能能够写入服务器上的任意文件，从而允许他们修改应用程序数据或行为，并最终完全控制服务器

原理

程序在实现上没有充分过滤用户输入的…/之类的目录跳转符，导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

二、防御方案

• 对用户的输入进行验证，特别是路径替代字符如“…/”和“~/”。 获取文件路径，过滤文件路径参数，如…/ 、 …\ 、 ./ 等跳转路径
• 尽可能采用白名单的形式，验证所有的输入。 对文件后缀白名单校验： 图片类型 .jpg .png .gif .jpeg .dwg 文档类型 .doc .docx .ppt .pptx .xls .xlsx .pdf
• 合理配置Web服务器的目录权限。
• 当程序出错时，不要显示内部相关配置细节。
• 对用户传过来的文件名参数进行统一编码，对包含恶意字符或者空字符的参数进行拒绝。
• 对上传文件校验文件大小
• 对上传文件重命名
• 获取文件路径，判断是否在预期目录
• 对客户端不直接暴露路径，使用文件ID代替文件名和文件路径

例如
可以修改tomcat的web.xml配置文件

tomcat 的web.xml 配置文件中有一个属性值 listing (Directory Listing)，这个属性值是控制是否展示虚拟目录;

三、自查项

• 业务功能是否有文件上传和导入场景，如上传头像、上传附件、上传图片等
• 业务功能是否有文件下载、文件删除、文件解压、文件导出场景
• 搜索Java代码中涉及MultipartFile、File、FileUpload、FileUtil等类
• 检查是否对传入路径做安全校验
• 检查上传功能是否校验文件大小
• 检查上传功能是否校验文件后缀
• 检查上传功能是否直接使用参数中的原文件名
• 检查上传功能是否校验是否有本地临时文件
• 检查上传功能是否校验是否存储在本地目录
• 使用文件操作API，是否忽略返回值
• 程序结束是否删除临时文件