Flask send_file函数导致的绝对路径遍历

最新推荐文章于 2023-07-03 14:18:56 发布
最新推荐文章于 2023-07-03 14:18:56 发布
阅读量942 收藏 1
点赞数 1
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YJ_12340/article/details/130770902
版权

平时接触到的 python 项目并不多,对 python 的代码审计更是没有接触,偶然朋友发来了一个漏洞 Flask send_file函数导致的绝对路径遍历 ,感觉打开了新世界的大门,于是就以一个初学者的角度,进行复现分析一下。详情也可以根据 Python : Flask Path Traversal Vulnerability 进行分析学习

send_file 的妙用

 在以 flask 框架开发的系统中,为了直接实现用户访问某一个 URL 时就可以下载到文件,我们就使用 send_file 来实现


from flask import Flask
from flask import send_file

app = Flask(__name__)


@app.route('/download')
def downloadFile():
    path = "test.txt"
    return send_file(path)


if __name__ == '__main__':
    app.run()

 

我们看到 如此运行的效果是直接返回了文件的内容,浏览器并没有识别成一个文件下载下来。

要想让浏览器识别成为文件下载的话,只需要加上as_attachment=True

from flask import Flask
from flask import send_file

app = Flask(__name__)


@app.route('/download')
def downloadFile():
    path ="test.txt"
    return send_file(path, as_attachment=True)


if__name__=='__main__':
    app.run()

 

 当下载的文件名是中文时

from flask import Flask
from flask import send_file

app = Flask(__name__)


@app.route('/download')
def downloadFile():
    path ="测试.txt"
    return send_file(path, as_attachment=True)


if__name__=='__main__':
    app.run()

Content-Disposition:

 Content-Disposition

 在常规的 HTTP 应答中,Content-Disposition 响应头指示回复的内容该以何种形式展示,是以内联的形式(即网页或者页面的一部分),还是以附件的形式下载并保存到本地。其可以是inline(默认值,所以可以不指定)或者是attachment,attachment表示附件,浏览器看到这个值一般会弹出一个保持文件的确认框,或者像chrome直接下载。

 

 

漏洞分析

 漏洞的触发是在 send_file 中,我们跟进看一下

 flask.helpers.send_file

 

 继续跟进查看

 werkzeug.utils.send_file

 

 我们在本地构造一个简单的语句进行尝试

>>>import os.path>>> _root_path ="path/to/mySafeStaticDir">>> path_or_file ="/../../../../../../../etc/passwd">>> os.path.join(_root_path,path_or_file)'/../../../../../../../etc/passwd'

 

 我们发现 os.path.join 使用不受信任的输入调用时不安全的。当 os.path.join 调用遇到绝对路径时,它会忽略在该点之前遇到的所有参数并开始使用新的绝对路径。当参数可控时,我们控制恶意参数输入绝对路径,os.path.join 会完全忽略静态目录。所以,当 os.path.join 来获取来自 flask.send_file 的不受信任的输入时,可能会目录遍历攻击。

漏洞复现

 我们在本地构造简单的代码进行测试,获取从外部传入的参数 filename

from flask import Flask, request
from flask import send_file

app = Flask(__name__)


@app.route('/download')
def downloadFile():
    filename = request.args.get('filename')
    return send_file(filename, as_attachment=True)

if__name__=='__main__':
    app.run()

 通过控制 filename 为绝对路径,就实现了目录穿越漏洞

 

 

 

总结反思

这个漏洞非常的有趣,漏洞的修复是可以使用flask.safe_join加入不受信任的路径或用flask.send_file调用替换flask.send_from_directory调用。

这个漏洞虽然很简单,但是在 github 上很多用 python 开发的项目都用了这个函数,如果不加以修复,会造成很大的危害。

蚁景网络安全
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python:实现send file发送文件功能(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
07-22 695
Python:实现send file发送文件功能(附完整源码)
使用Flasksend_file方法实现文件下载功能
最新发布
Code掘金的博客
05-13 1544
send_file方法是Flask框架提供的一个函数,用于向客户端发送文件。它可以发送任何类型的文件,包括图片、视频、文档等。send_file方法的使用非常简单,只需提供文件的路径即可。
python遍历文件夹下所有的文件并返回
什么都干的派森
03-27 9224
遍历文件夹下所有的文件,拼接成绝对路径,组成list返回 import os def get_all_file_in_dir(dir_path): ''' 获取目录下的所有文件 :return: ''' file_name_list = [] for root, dirs, files in os.walk(dir_path): if files: for name in files:
flask.send_file实现文件下载、文件传输和二进制流传输
focus:Follow One Cause Until Success
07-03 9993
但是,随着分布式和微服务的发展,我们的后端服务可能并未部署在一台机器上,或有时候我们并没有需要传输的本地文件。如上面的flask.send_file的简单实现所示,后端设置当前需要传输的文件路径即可将内容传输到前端显示或下载。在二进制流传输的时候,因为是通过的流传输,flask无法自动判断文件的具体类型和文件名等信息,所以需要自己手动设置。为更方便演示,在示例中,通过读取本地文件转换为二进制流的方式进行演示,本质原理是一样的。函数返回前端后,前端并没有直接下载文件,而是根据文件的类型显示的文件的具体内容。
Linux sendfile
fisher_jiang的专栏
05-28 6526
作者:Dragan Stancevic,2003-01-01 原文地址:http://www.linuxjournal.com/article/6345译者:Love. Katherine,2007-03-25译文地址:http://blog.csdn.net/lovekatherine/archive/2007/03/25/1540291.aspx转载时务必以超链接形式标明文章原始出处及作者、译
关于SQL数据库 msdb.dbo.sp_send_dbmail 函数发送邮件的场景分析
09-09
此时,可以创建一个视图,存储需要发送的邮件信息(如邮箱、主题、内容),然后使用游标遍历视图,对每一行数据调用`sp_send_dbmail`,将邮件内容和主题设置为视图中的值。 场景三:交互式邮件通知。在销售特价申请...
Internet_file:flask练手项目---文件上传下载的管理系统
05-18
Flask中,可以通过`send_from_directory`函数来实现,它会安全地发送指定目录下的文件。 5. 用户接口:项目可能使用了HTML、CSS和JavaScript来创建用户友好的界面。HTML用于结构,CSS用于样式,JavaScript(可能...
VC++ 遍历FTP文件目录
12-14
3. **发送FTP命令**:在Socket连接上,我们可以使用`send`函数发送FTP命令,然后使用`recv`函数接收服务器的响应。 4. **解析FTP响应**:FTP服务器会返回文件列表信息,这通常是一个格式化的文本,包含每个文件或...
vbs 解析html文档的方法(htmlfile)
09-04
例如,找到ID为`post_list`的元素,并遍历其子元素中的第一个`<a>`标签: ```vbs Set post_list = html.getElementById("post_list") For Each el In post_list.children WScript.Echo el.getElementsByTagName...
php开发常用函数
02-17
对于导入,可以读取文件遍历每个单元格,将数据存储到数组或数据库中。 再来说说文件打包压缩下载。PHP内建的`zip`扩展可以处理ZIP格式的文件压缩与解压缩。例如,你可以使用`ZipArchive`类来创建一个新的ZIP文件...
sendfile
weixin_34384557的博客
01-17 201
在apache,nginx,lighttpd等web服务器当中,都有一项sendfile相关的配置,在一些网上的资料都有谈到sendfile会提升文件传输性能,那sendfile到底是什么呢?它的原理又是如何呢? 在传统的文件传输里面(read/write方式),在实现上其实是比较复杂的,需要经过多次上下文的切换,我们看一下如下两行代码: read(fi...
零拷贝——sendfile
赶路人儿
10-16 3927
一、DMA io读写有两种方式: 中断 DMA 用户进程发起数据读取请求 系统调度为该进程分配cpu cpu向io控制器(ide,scsi)发送io请求 用户进程等待io完成,让出cpu 系统调度cpu执行其他任务 数据写入至io控制器的缓冲寄存器 缓冲寄存器满了向cpu发出中断信号 cpu读取数据至内存 通过中断,cpu需要拷贝数据。 2、DMA 用户进程发起...
flask send_file 下载文件,断点续传.md
hunyxv的博客
11-12 3511
函数包含在 flask.helpers文件中: def send_file( filename_or_fp, mimetype=None, as_attachment=False, attachment_filename=None, add_etags=True, cache_timeout=None, conditional=False, ...
got an unexpected keyword argument cert_file
迎风飞翔的专栏
02-18 1684
执行 conda create -n tensorflow python =3.7 命令报错 got an unexpected keyword argument cert_file 是urllib3报的错误 单独执行pip install --upgrade urllib3,也报同样的错误。 解决方法: 需要在环境变量PATH中再添加两个 一共要有这三个, 如果你用的代理的话,再检查下你的代理设置,cmd中手动设置如下 以自己的为例 set http_proxy=sock
python flask文件下载 | 实用代码架构
热门推荐
阿良的博客
10-24 4万+
目录 简述 依赖 代码 总结 简述 写一个简单的flask文件下载接口。 依赖 flask、gevent 代码 不废话上代码。 #!/usr/bin/env python3 # -*- coding: utf-8 -*- """ Created on Sat Oct 23 19:53:18 2021 @author: huyi """ from flask import Flask, request, make_response, send_from_direct
flask下载文件使用中文名字
静待花开时,终有重逢日。
07-26 1514
在使用flask进行文件下载时,发现不能使用中文名字, 后来网上搜索的答案基本上都是python2的解决方法 报错为:UnicodeEncodeError: ‘ascii’ codec can’t encode characters in ordinal not in range(128) # -*- coding: utf-8 -*- reload(sys) sys.setdefaultenco...
python sendfile_使用sendfile()让数据传输得到最优化(转载)
weixin_31829387的博客
02-09 897
使用sendfile()让数据传输得到最优化,TCP_CORK、TCP_DEFER_ACCEPT和TCP_QUICKACK优化网络当今国互联网的飞速发展让人们获益匪浅,同时人们对于互联网的期望值也变得越来越高。这就形成了一个矛盾,虽然互联网的发展已经是相当迅猛的了,但是人们还是期望从服务器到客户终端的文件传输的速度能够比现在再快一些,这种要求(当然是合理的要求)好像从来也满足不了。在向人们询问“一...
flask接收客户端的get请求,读取本地文件并将文件返回给客户端 ,可用于文件下载功能
xw_2_xh的博客
07-16 1万+
1、创建一个get_file.py的python文件,内容如下所示: # -*- coding: utf-8 -*- from flask import Flask, render_template, send_file, send_from_directory,json, jsonify,make_response app = Flask(__name__) #实例化flask app ...
怎么获得 ymltext = open_yml() file_path = ymltext['excel_path'] sheet_name = ymltext['open_excel_sheet_name'] "打开excel文件" def get_test_data(file_path, sheet_name): # 打开Excel文件获取工作簿对象 workbook = xlrd.open_workbook(file_path) # 获取指定的工作表对象 sheet = workbook.sheet_by_name(sheet_name) # 获取行数和列数 rows = sheet.nrows cols = sheet.ncols # 定义一个空列表,用于存储测试数据 test_data = [] # 遍历每一行数据 for i in range(1, rows): # 定义一个字典,用于存储每一行数据 row_data = {} # 遍历每一列数据 for j in range(cols): # 获取单元格的值并添加到字典中 key = sheet.cell_value(0, j) value = sheet.cell_value(i, j) row_data[key] = value #将每一行数据添加到测试数据列表中 test_data.append(row_data) # 返回测试数据列表 return test_data里面返回的值并带到 def send_request(url, method, headers, params=None, data=None, json=None): # 发送HTTP请求并获取响应结果 response = requests.request(method=method, url=url, headers=headers, params=params, data=data, json=json) # 获取响应状态码和响应内容 status_code = response.status_code content = response.text # 将响应状态码和响应内容添加到字典中 result = {'status_code': status_code, 'content': content} # 返回响应结果字典 return result方法里面
06-01
在这个例子中,先使用`open_yml()`函数打开一个YAML文件,然后从中获取Excel文件路径和工作表名称,然后把这两个参数传给`get_test_data()`函数来读取Excel文件中的测试数据,最后把测试数据传给`send_request()`函数来发送HTTP请求并获取响应内容。 具体实现步骤如下: 1. 首先,使用`open_yml()`函数打开一个YAML文件,保存返回值到`ymltext`变量中。 ``` ymltext = open_yml() ``` 2. 从`ymltext`变量中获取Excel文件路径和工作表名称。 ``` file_path = ymltext['excel_path'] sheet_name = ymltext['open_excel_sheet_name'] ``` 3. 调用`get_test_data()`函数读取Excel文件中的测试数据。 ``` test_data = get_test_data(file_path, sheet_name) ``` 4. 遍历`test_data`列表,依次发送HTTP请求并获取响应内容。 ``` for data in test_data: url = data['url'] method = data['method'] headers = data['headers'] params = data.get('params') data = data.get('data') json = data.get('json') response = send_request(url, method, headers, params=params, data=data, json=json) print(response) ``` 注意,在发送HTTP请求时,需要根据测试数据中的请求方法、请求头、请求参数等信息来构造请求,并把请求参数传给`send_request()`函数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值