相対URIパスを防ぐために文字列を消化する

Question

ローカルのSQL Expressデータベースの情報を更新するために作成したHTTPハンドラがあります。

ユーザーは、相対URIパス "/../../file.zip"をクエリ文字列として使用することができ、制限された領域外のファイルをダウンロードできる可能性があることを認識しました。

サイトはまだライブではありませんので、セキュリティ上の問題はありませんが、このようなことは避けてください。

入力クエリから「..」を削除する単純なstring.replace行を追加しました。

これを保護するためにここで行うべきことがありますか？

public void ProcessRequest(HttpContext context) 
{ 
    string filesPath = "C:/Downloads/"; 
    string fileName = context.Request.QueryString["filename"]; 
    fileName = fileName.Replace("'", "''").Replace("..", "").Replace("/", "").Replace("\\", ""); 

    if (!string.IsNullOrEmpty(fileName) && File.Exists(filesPath + fileName)) 
    { 
     context.Response.ContentType = "application/octet-stream"; 
     context.Response.AddHeader("Content-Disposition", string.Format("attachment; filename=\"{0}\"", fileName)); 
     context.Response.WriteFile(filesPath + fileName); 
     //Do work to update SQL database here 
    } 
    else 
    { 
     context.Response.ContentType = "text/plain"; 
     context.Response.Write(filesPath + fileName + " Invalid filename"); 
    } 
} 

Answer 1

私は通常、この問題をチェックするために、この単純なコードを使用します。

private string getPath(string basePath, string fileName) 
{ 
    var fullPath = System.IO.Path.GetFullPath(System.IO.Path.Combine(basePath, fileName)); 
    if (fullPath.StartsWith(basePath)) 
     return fullPath; 
    return null; 
} 

目標（それがコンパイルされないことがありので、私はそれはあなたのアイデアを与えることだけだ、それを直接入力します） Path.GetFullPathを使用することです。このメソッドは、/../などを完全なパスに変換します。次に、返されたパスが許可されたディレクトリにあることを確認します。
は、この方法が予想よりslighty異なるパスは、あなたがRequest.QueryString["filename"]は、実際にファイルを表し鍵となる可能性があり、詳細な説明

Answer 2

ためMSDNを読んで戻っていることを気をつけてください。ユーザーがファイルキーを簡単に推測できるようにしたくない場合は、キーを数字またはランダムな文字列にすることができます。マッピングをデータベースに保存し、そのキーを使用してローカルファイル名を取得することができます（2つのファイルを区別して実装の詳細を隠す場合は、ファイル名を表示することもできます）。