路径遍历攻击通俗解释

路径遍历攻击：当攻击者偷偷“翻箱倒柜”偷你的文件

想象一下，你把重要文件锁在一个带密码的保险箱里（服务器文件系统），但攻击者发现了一个漏洞——他可以通过操纵你给的“密码”（文件路径），偷偷打开保险箱，不仅拿走你的文件，甚至还能把里面的东西换成炸弹（恶意代码）！这就是路径遍历攻击的可怕之处。

---

一、什么是路径遍历攻击？

1.1 基本概念

路径遍历攻击（Path Traversal）是指攻击者通过构造特殊的路径字符串（比如 ../../），绕过程序对文件访问的限制，非法读取、修改或删除服务器上的敏感文件。

1.2 攻击原理

当你的程序根据用户输入的参数（比如 ?file=avatar.jpg）去访问文件时，如果没严格检查输入内容，攻击者就可能插入 ../../ 这样的“魔法密码”，跳出原本允许访问的目录，直接访问系统关键文件（比如 /etc/passwd 密码文件）。

---

二、攻击入口：为什么重点检测URI和请求体？

攻击者主要通过以下两个“入口”注入恶意路径：

2.1 URI参数：URL里的“目录跳跃密码”

当用户访问带文件参数的URL时（比如 /download?file=avatar.jpg），攻击者可能在参数中插入 ../../ 来跳转目录。

典型攻击示例：

/download?file=../../etc/passwd

如果服务器直接拼接这个参数去读取文件，就会把系统的密码文件返回给攻击者！

---

2.2 请求体：JSON/Form中的“隐藏路径指令”

当用户提交表单或API请求时（比如上传文件或指定下载路径），攻击者可能在数据中插入路径遍历代码。

典型攻击示例：

{
  "download_path": "uploads/user123.jpg/../../etc/shadow"
}

如果后端代码直接使用这个路径去访问文件，可能导致敏感文件泄露！

---

2.3 请求头：按需开启的“防御开关”

HTTP请求头（如 Referer、X-File-Path）通常不直接用于文件访问，但在某些特殊场景下可能成为攻击入口：

• 某些自定义框架从请求头中解析文件路径。
• 文件下载功能通过 Range 或自定义头指定路径。

为什么默认不开启检测？
因为绝大多数情况下请求头不会包含文件路径，检测会带来额外性能开销。但如果你项目中存在以下情况，建议开启：

• 使用自定义头传递文件路径（如 X-Download-Path: uploads/file.txt）。
• 某些中间件从请求头中提取路径信息。

---

三、防御措施：如何锁好你的“保险箱”？

3.1 输入过滤与验证

• 禁止 ../ 等目录跳转符：对用户输入的路径参数进行严格过滤，删除或拒绝包含 ../、..\（Windows）的请求。
• 白名单机制：只允许访问固定目录下的文件（比如 /var/www/uploads/），禁止访问系统目录（如 /etc/、/root/）。
• 绝对路径转换：将用户输入的相对路径转换为服务器上的绝对路径后，再检查是否在允许范围内。

---

3.2 安全编程实践

• 使用安全API：
  比如Java的 Paths.get(baseDir).resolve(userInput).normalize() 会自动解析路径并消除 ../ 的影响。
• 限制文件操作权限：
  运行Web服务的账户只授予必要目录的读写权限（比如禁止访问 /etc/）。
• 日志监控：
  记录所有文件访问行为，发现异常路径请求时立即告警。

---

3.3 框架级防护

• Spring Security：开启路径访问限制，禁止直接通过URL参数访问文件系统。
• Nginx/Apache：配置反向代理规则，拦截包含 ../ 的请求。
• 云存储服务：直接使用对象存储（如AWS S3）的API，避免直接操作服务器文件系统。

---

四、示例案例：从攻击到防御

场景：一个文件下载功能

• 正常流程：
  用户访问 /download?file=report.pdf，服务器拼接路径 /var/www/uploads/report.pdf 并返回文件。

• 攻击者构造的恶意请求：

  /download?file=../../etc/passwd
  

  如果服务器直接拼接路径，可能返回系统的密码文件！

• 防御系统如何工作：
  检测到 file 参数包含 ../，或解析后的绝对路径跳出了 /var/www/uploads/ 目录，直接拦截请求并报警！

---

五、总结：安全是“默认拒绝访问”

路径遍历攻击就像一个“目录跳跃魔术”，能让攻击者绕过你的防线偷走或篡改文件。防御的关键在于：

1. 默认禁止目录跳转符：像防病毒软件一样拦截 ../、..\ 等危险字符。
2. 严格限制访问范围：用白名单机制把文件操作锁在“保险箱”内。
3. 按需防护请求头：只有明确存在风险时才检测请求头中的路径参数。

记住：永远不要相信用户输入的路径！ 即使是看起来普通的下载请求，都可能是攻击者的“魔术密码”。做好防御，才能让你的系统真正安全！

---

推荐更多阅读内容
PHP反序列化攻击通俗解释
Java反序列化攻击通俗讲解
Java代码注入攻击：你的代码正在被“篡改”吗
远程命令执行攻击
XML注入攻击的防御
XML注入攻击通俗解释
从零开始了解 Linux 镜像制作：新手入门指南
虚拟机通信协议解析：virtio-serial如何处理多类型数据传输