Может ли веб-API ASP. NET Core 3.1 быть атакованным путем обхода каталога?

Question

Наша команда безопасности попросила меня «добавить logi c для обнаружения атаки обхода каталога» для нашего ASP. NET Core 3.1 Web API. Итак, я прочитал содержимое из:

• https://en.wikipedia.org/wiki/Directory_traversal_attack
• https://owasp.org/www-community/attacks/Path_Traversal

Но кажется, что нет никакого способа дать ему атаку обхода каталога - недопустимые URL-адреса не маршрутизируются на контроллер / действия. Итак, мои вопросы:

1. Нужно ли нам беспокоиться об атаке обхода каталога?
2. Если да, то как лучше всего реализовать?

Заранее спасибо !!

Answer 1

Обход пути может быть угрозой, но не обязательно со стороны .Net Core WebAPI, конечно, это будет зависеть от многих факторов:

1. Как вы настроили веб-сервер. Разрешаете ли вы просматривать приложение или любой путь на сервере?
2. Разрешаете ли вы указывать данные пользователя (например, пути к файлам к любому хранилищу) во входящих данных?
3. Вы настраиваете app.UseStaticFiles() разрешая пользователю WebAPI указывать маршрут или не проверяя, что запущенный процесс имеет доступ только к этому каталогу, не применять какой-либо ../ путь?
4. Если вы загружаете файлы в свой API ... Создаете ли вы имя файла для хранилища или использовать то же имя файла?

Эти и многие другие вопросы могут возникнуть в зависимости от того, как вы настраиваете приложение / сервер или как вы контролируете доступ или дезинфицируете свои данные.

Просто пища для размышлений. :)