文章目录
Tornado
题目描述:tornado框架
Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架
简单说一下其框架漏洞的利用:
传入某文件的路径为“/Users/python/tornado-file-read/static/”
经过python中os.path.abspath函数处理
变成了“/Users/python/tornado-file-read/static”
所以:
如果有一个文件是“/Users/python/tornado-file-read/static.db”,
或一个目录是“/Users/python/tornado-file-read/static_private/”,
它们均以“/Users/python/tornado-file-read/static”开头
虽然这些文件并不在static这个目录下,但我们仍然可以读取到它们
综上所述,os.path.abspath函数会造成一个文件读取漏洞,使我们读取到了本不应该被读取的某些文件。
接着我们看题目: