5步发现，3招防御：解密被安全圈忽视的致命漏洞CSPT

在网络安全的世界里，我们经常听到关于SQL注入、XSS跨站脚本攻击等常见威胁的讨论，但有一种危险的漏洞却很少被提及，直到它造成严重后果时才引起人们的注意——这就是客户端路径遍历（Client-Side Path Traversal，简称CSPT）。本文将深入探讨这一安全漏洞的本质、危害以及防护措施。

什么是客户端路径遍历？

客户端路径遍历是一种安全漏洞，攻击者通过操纵Web应用程序中的文件路径参数，获取对客户端或服务器上受限文件的未授权访问。与传统的服务器端路径遍历不同，客户端路径遍历主要利用Web浏览器、JavaScript或本地文件访问机制中的弱点。

在现代Web应用架构中，前后端分离已成为主流模式。当一个应用使用React或Angular等框架构建前端，并通过API与后端通信时，如果对用户输入的路径参数缺乏严格验证，攻击者就可以通过修改这些参数，诱导应用访问预期之外的文件路径。

一个典型的CSPT攻击可分为两个关键部分：

• 源（Source）：触发路径遍历的入口点
• 汇（Sink）：可被攻击者利用的终点

CSPT的危害

成功的客户端路径遍历攻击可能导致严重后果：

1. 未授权文件访问：攻击者可读取受害者设备上的敏感文件
2. 跨站脚本攻击（XSS）：路径遍历与不当的JavaScript执行结合可引发XSS攻击
3. 本地文件包含（LFI）：攻击者可能通过包含意外文件执行恶意脚本
4. 代码执行：在某些情况下，攻击者甚至可在受害者设备上执行任意代码

发现客户端路径遍历漏洞

分析Web请求中的文件路径

首先，我们可以使用Burp Suite、OWASP ZAP或浏览器开发者工具(F12→网络选项卡)检查包含文件路径的请求。寻找URL中的文件参数，例如：

https://example.com/getFile?path=/user/docs/report.pdf

同时检查JavaScript是否通过fetch或XMLHttpRequest获取文件：

fetch("/api/getFile?name=report.pdf")

检查JavaScript中的文件路径操作

下载并分析JavaScript文件是发现漏洞的有效方法：

wget -r -A .js https://example.com/
grep -rnw '.' -e 'file'
grep -rnw '.' -e 'path'

特别注意类似以下代码的片段：

document.write('<img src="' + userInput + '">');

这类代码可能容易受到路径操作攻击。

静态代码分析

搜索可能导致安全问题的危险函数：

grep -rnw '.' -e 'eval'
grep -rnw '.' -e 'document.write'
grep -rnw '.' -e 'innerHTML'

脆弱的代码示例：

let file = getParameterByName("file"); 
window.location.href = "/documents/" + file;

测试路径遍历漏洞

修改文件路径参数

寻找包含文件参数的URL并尝试修改它们：

原始请求：

GET /download?file=user-report.pdf

测试路径遍历：

GET /download?file=../../../../etc/passwd
GET /download?file=../../../../windows/win.ini

如果响应包含文件内容，则证明存在漏洞。

使用Burp Suite拦截请求

通过Burp Suite代理拦截请求并修改文件参数：

file=../../../../etc/shadow
file=../../../../etc/hosts

自动化测试

使用ffuf等工具模糊测试文件参数：

ffuf -u "https://example.com/download?file=FUZZ" -w payloads.txt

payload示例：

../../../../etc/passwd
../../../../windows/system32/config/SAM
../../../../var/log/syslog

浏览器存储与安全策略检查

检查本地存储中是否存在文件路径：

console.log(localStorage);
console.log(sessionStorage);

如果发现文件路径，尝试修改它：

localStorage.setItem('configPath', '../../../../etc/passwd');

同时，审查网站的内容安全策略(CSP)：

Content-Security-Policy: default-src 'self'

如果它允许file://URL，可能存在安全隐患。

防御措施

要保护应用免受客户端路径遍历攻击，开发人员应：

1. 验证所有用户输入：使用白名单方法验证文件路径
2. 实施强大的CSP：禁止文件://协议和不必要的外部资源
3. 避免直接操作文件路径：使用安全的文件标识符而非实际路径
4. 限制目录访问：实施沙箱机制，限制应用对文件系统的访问
5. 定期安全审计：使用SAST和DAST工具扫描可能的路径遍历漏洞

结语

客户端路径遍历虽不如其他Web安全漏洞那样广为人知，但其危害不容忽视。在当今前后端分离架构盛行的环境下，开发团队需要提高对此类漏洞的警惕，将安全考量融入开发流程的每一环节。

通过了解CSPT的工作原理、检测方法和防御策略，我们能够构建更安全的Web应用，为用户提供更可靠的数字体验。安全不是一次性工作，而是持续不断的过程——特别是对于那些直到为时已晚才被人们谈论的漏洞。

作为开发者或安全专业人员，我们有责任关注这些被忽视的安全角落，防患于未然，而非亡羊补牢。

本文旨在提高安全意识，请勿将文中技术用于非法目的。安全测试应在获得适当授权的环境中进行。