1.2 文件操作

1.2.1【必须】 路径穿越检查

  • 在进行文件操作时,如果对外部传入的文件名未做限制,可能导致任意文件读取或者任意文件写入,严重可能导致代码执行。
  1. // bad: 任意文件读取
  2. func handler(w http.ResponseWriter, r *http.Request) {
  3.     path := r.URL.Query()["path"][0]
  5.     // 未过滤文件路径,可能导致任意文件读取
  6.     data, _ := ioutil.ReadFile(path)
  7.     w.Write(data)
  9.     // 对外部传入的文件名变量,还需要验证是否存在../等路径穿越的文件名
  10.     data, _ = ioutil.ReadFile(filepath.Join("/home/user/", path))
  11.     w.Write(data)
  12. }
  14. // bad: 任意文件写入
  15. func unzip(f string) {
  16.     r, _ := zip.OpenReader(f)
  17.     for _, f := range r.File {
  18.         p, _ := filepath.Abs(f.Name)
  19.         // 未验证压缩文件名,可能导致../等路径穿越,任意文件路径写入
  20.         ioutil.WriteFile(p, []byte("present"), 0640)
  21.     }
  22. }
  24. // good: 检查压缩的文件名是否包含..路径穿越特征字符,防止任意写入
  25. func unzipGood(f string) bool {
  26.     r, err := zip.OpenReader(f)
  27.     if err != nil {
  28.         fmt.Println("read zip file fail")
  29.         return false
  30.     }
  31.     for _, f := range r.File {
  32.         p, _ := filepath.Abs(f.Name)
  33.         if !strings.Contains(p, "..") {
  34.             ioutil.WriteFile(p, []byte("present"), 0640)
  35.         }
  36.     }
  37.     return true
  38. }

1.2.2【必须】 文件访问权限

  • 根据创建文件的敏感性设置不同级别的访问权限,以防止敏感数据被任意权限用户读取。例如,设置文件权限为:-rw-r-----
  1. ioutil.WriteFile(p, []byte("present"), 0640)