我的网站申请流程的一部分是用户必须证明网站的所有权。我很快就拼凑了一些代码,但直到现在才意识到它可能存在一些漏洞。
类似这样的:
$generatedCode="9s8dfOJDFOIesdsa";
$url="http://anyDomainGivenByUser.com/verification.txt";
if(file_get_contents($url)==$generatedCode){
//verification complete!
}
用户提供的 file_get_contents() 网址是否存在任何威胁?
编辑:上面的代码只是一个例子。 generatedCode 显然更复杂一些,但仍然只是一个字符串。
是的,这可能是一个服务器端请求伪造漏洞 - 如果
$url如果
$url$url192.168.123.1http://192.168.123.1/verification.txtfile_get_contents()
本身看起来很安全,因为它检索 URL 并将其放入字符串中。只要您不在任何脚本引擎中处理该字符串或将其用作任何执行参数,您就应该是安全的。 file_get_contents()
也可用于检索本地文件,但如果您如上所述验证它是面向互联网的有效 HTTP URL,则如果您决定向用户显示
verification.txt 包含的内容,此措施应阻止读取本地文件如果不匹配。此外,如果您要在网站上的任何位置显示 verification.txt