当前位置：首页 > 文章列表 > 文章 > python教程 > Python路径遍历漏洞怎么修

Python路径遍历漏洞怎么修

2026-04-30 11:27:45 0浏览收藏

Python中使用os.path.basename防御路径遍历漏洞是严重误区——它仅做简单字符串截取，完全不解析路径语义，对../../../etc/passwd、URL编码（%2e%2e%2f）、空字节（\x00）等常见绕过手法毫无防御力；真正可靠的修复必须依赖os.path.realpath进行操作系统级路径归一化，并严格比对归一化后的真实路径是否位于预设绝对基准目录内，同时需前置过滤空字节与控制字符、警惕反向代理和WSGI中间件的提前解码与路径重写行为——路径遍历不是字符串游戏，而是贯穿请求解析全链路的信任校验问题。

如何修复Python Web项目中的路径遍历漏洞_使用os.path.basename过滤

为什么 `os.path.basename` 不能可靠防御路径遍历

直接用 os.path.basename 过滤用户输入的文件名，看似能“只取最后一段”，实则完全无效。它只剥离路径分隔符前的所有内容，对 ../../../etc/passwd 这类输入，os.path.basename 返回的仍是 passwd —— 攻击者早已绕过过滤，后续拼接路径时仍会向上穿越。

常见错误写法：

filename = request.args.get('file')
safe_name = os.path.basename(filename)  # ❌ 对 ../../etc/passwd 返回 'passwd'
with open(f'/var/www/static/{safe_name}') as f:  # 实际打开 /etc/passwd
    return f.read()

os.path.basename 不解析路径语义，不处理 .. 或 .
它在 Unicode 或编码边界（如 %2e%2e%2f）下也无作用
若服务端启用了 URL 解码（Flask/Django 默认做），攻击载荷可能在到达你的代码前就已还原

正确做法：用 `os.path.realpath` + 白名单目录比对

核心思路是让系统真正解析路径，再确认最终位置是否落在允许范围内。不能只靠字符串操作，必须依赖操作系统级路径归一化。

示例（Flask 场景）：

import os
BASE_DIR = '/var/www/static'
@app.route('/download')
def download():
filename = request.args.get('file', '')
if not filename:
return 'Missing file', 400
# 拼接并解析为绝对、真实路径
full_path = os.path.join(BASE_DIR, filename)
real_path = os.path.realpath(full_path)

# 关键：检查 real_path 是否仍在 BASE_DIR 下
if not real_path.startswith(os.path.abspath(BASE_DIR) + os.sep):
    return 'Access denied', 403

if not os.path.isfile(real_path):
    return 'Not found', 404

return send_file(real_path)