Python路径遍历漏洞怎么修

Python中使用os.path.basename防御路径遍历漏洞是严重误区——它仅做简单字符串截取，完全不解析路径语义，对../../../etc/passwd、URL编码（%2e%2e%2f）、空字节（\x00）等常见绕过手法毫无防御力；真正可靠的修复必须依赖os.path.realpath进行操作系统级路径归一化，并严格比对归一化后的真实路径是否位于预设绝对基准目录内，同时需前置过滤空字节与控制字符、警惕反向代理和WSGI中间件的提前解码与路径重写行为——路径遍历不是字符串游戏，而是贯穿请求解析全链路的信任校验问题。

为什么 os.path.basename 不能可靠防御路径遍历

直接用 os.path.basename 过滤用户输入的文件名，看似能“只取最后一段”，实则完全无效。它只剥离路径分隔符前的所有内容，对 ../../../etc/passwd 这类输入，os.path.basename 返回的仍是 passwd —— 攻击者早已绕过过滤，后续拼接路径时仍会向上穿越。

常见错误写法：

filename = request.args.get('file')
safe_name = os.path.basename(filename)  # ❌ 对 ../../etc/passwd 返回 'passwd'
with open(f'/var/www/static/{safe_name}') as f:  # 实际打开 /etc/passwd
    return f.read()

• os.path.basename 不解析路径语义，不处理 .. 或 .
• 它在 Unicode 或编码边界（如 %2e%2e%2f）下也无作用
• 若服务端启用了 URL 解码（Flask/Django 默认做），攻击载荷可能在到达你的代码前就已还原

正确做法：用 os.path.realpath + 白名单目录比对

核心思路是让系统真正解析路径，再确认最终位置是否落在允许范围内。不能只靠字符串操作，必须依赖操作系统级路径归一化。

示例（Flask 场景）：

import os
<p>BASE_DIR = '/var/www/static'</p><p>@app.route('/download')
def download():
filename = request.args.get('file', '')
if not filename:
return 'Missing file', 400</p><pre class="brush:php;toolbar:false"><code># 拼接并解析为绝对、真实路径
full_path = os.path.join(BASE_DIR, filename)
real_path = os.path.realpath(full_path)

# 关键：检查 real_path 是否仍在 BASE_DIR 下
if not real_path.startswith(os.path.abspath(BASE_DIR) + os.sep):
    return 'Access denied', 403

if not os.path.isfile(real_path):
    return 'Not found', 404

return send_file(real_path)</code>

• os.path.realpath 展开所有 ..、. 和符号链接，得到实际磁盘路径
• 必须用 os.path.abspath(BASE_DIR) 做比对起点，避免相对路径歧义
• + os.sep 防止前缀匹配误判（例如 /var/www/static_bad 被 /var/www/static 错误匹配）

额外必须加的防护层：拒绝空字节和控制字符

某些旧版 Python 或 Web 服务器（如 Nginx + uWSGI）在遇到 \x00 时会截断字符串，导致 os.path.realpath 失效。攻击者可构造 ../../../etc/passwd\x00.jpg 绕过检查。

• 在调用 os.path.realpath 前，显式拒绝含 \x00 的输入：if '\x00' in filename: abort(400)
• 同时过滤其他危险字符：U+202E（RTL 覆盖）、\r、\n（影响日志或响应头）
• 如果业务允许，更稳妥的做法是白名单：只接受 [a-zA-Z0-9_.-] 字符集

注意 WSGI 中间件和反向代理的影响

如果你的 Python 应用前面挂了 Nginx 或 Apache，它们可能提前解码 URL 编码，也可能重写 PATH_INFO。这意味着你拿到的 request.args.get('file') 可能已是二次解码结果，也可能被代理篡改。

• 检查 request.environ.get('PATH_INFO') 和 request.query_string，确认输入来源是否可信
• Nginx 配置中避免使用 rewrite 无脑拼接 $uri，尤其不要在重写规则里引入用户可控路径段
• 在日志中记录原始请求 URI（request.environ.get('RAW_URI')，若存在），便于溯源绕过行为

路径遍历不是单点问题，而是解析链上任一环节松动都可能导致失效。最常被忽略的是：你以为自己在过滤字符串，但系统早已在你之前做了路径解析或编码转换。

理论要掌握，实操不能落！以上关于《Python路径遍历漏洞怎么修》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！