0
有一個腳本可以從用戶處獲取目錄。如何檢查用戶是否試圖獲得比公共文件夾更高的級別?(Rails)測試用戶是否試圖獲取根目錄
例如,我試圖檢測空字符串,所以如果我輸入"?directory=/" =>我進入根目錄。比我試圖檢查公用文件夾的方式是否在路徑中。再次=>"?directory=/home/user/app/public/../../../../../" =>再次我在根。
如何測試並拒絕訪問?
A
回答
0
試試這個:
def path_valid?(path, base = Rails.public_path)
expanded_path_name = Pathname.new(path).realpath.to_s
expanded_path_name.starts_with? base
end
Pathname#realpath將解決路徑爲絕對路徑,以及做符號鏈接的分辨率。這將使您能夠精確地測試要操作的文件的路徑,並確保它位於給定路徑內。
相關問題
- 1. 從根目錄和測試目錄運行rails測試之間的區別
- 2. 測試用戶是否登錄
- 3. 如何在Rails項目的Rspec測試中獲取gem的根目錄?
- 4. 測試當前目錄是否在Rails項目中(bash)
- 5. 測試一個目錄是否存在
- 6. 測試目錄是否可瀏覽
- 7. 快速測試目錄是否爲空
- 8. 根據文件名測試目錄是否存在
- 9. jest process.cwd()獲取測試文件目錄
- 10. 測試版用戶有不同的文檔根目錄嗎?
- 11. Google是否提供用於集成測試的測試用戶
- 12. 測試 - 試圖通過用戶名使用$ httpBackend.expectGET獲取用戶JSON對象
- 13. 測試是否有意圖
- 14. Gmail測試帳戶是否適用於Android Market LVL測試?
- 15. 如何檢測當前工作目錄是否爲Rails項目根目錄
- 16. 獲取UrlGenerationErrorr試圖運行測試
- 17. Yodlee測試用戶是否活躍?
- 18. 如何測試用戶是否使用VBA登錄到Lotus Notes?
- 19. 獲得耙測試,以查看子目錄中的測試..?
- 20. Ruby on Rails:測試值是否存在?
- 21. Rails測試試圖刪除sql視圖
- 22. 測試用戶是否已成功登錄
- 23. Django:如何測試用戶當前是否登錄
- 24. 測試用戶是否已登錄哈姆雷特模板
- 25. 使用模擬來測試目錄是否存在
- 26. 測試以查看是否使用PowerShell共享目錄?
- 27. 測試是否使用CMakeLists.txt作爲子目錄
- 28. 如何使用RewriteCond測試子目錄文件是否存在?
- 29. 如何使用Delphi來測試目錄是否可寫?
- 30. 檢測用戶是否爲測試用戶
這聽起來像你試圖做的只是要求被剝削。 –
這就是爲什麼我問,這是一個明顯的安全漏洞。 – Roman
有沒有另外一種方法可以不需要像那樣通過目錄?你在做什麼? –