File.Exists 会泄露敏感信息是因为其底层调用 Windows API 时,文件存在与否导致 CPU 缓存、TLB、分支预测等硬件行为产生纳秒级时序差异,攻击者可通过高精度计时统计推断路径存在性。
为什么 File.Exists 会泄露敏感信息
它不是“功能错误”,而是设计使然:底层调用 Windows API(如 GetFileAttributesEx)时,文件存在会走缓存路径、不存在则触发磁盘 I/O 或 NTFS 元数据遍历——CPU 缓存命中/未命中、TLB 延迟、甚至分支预测失败,都会在纳秒级暴露差异。攻击者用高精度计时(如 Rdtscp 指令或 Stopwatch.GetTimestamp())反复测量,统计显著性偏差就能推断路径是否存在。
常见误用场景:
• 权限校验前先查 File.Exists(@"C:\secrets\config.json")
• 登录逻辑中根据用户名拼接路径并检查 File.Exists($"data/{user}.key")
- 不要用
File.Exists做访问控制依据,它本质是侧信道发射器 - 即使加了
Thread.Sleep(1)也无效——时序差异在硬件层,软件层延迟无法抹平 - .NET 6+ 的
File.Exists在某些路径下会绕过部分系统调用,但不可依赖,行为随 OS 和 FS 变化
统一用 FileStream 打开 + 异常捕获替代存在性检查
核心原则:让「存在」和「不存在」走几乎相同的执行路径,强制触发同等量级的系统调用与异常处理开销。
- 永远用
try/catch (IOException)或catch (UnauthorizedAccessException),而不是if (File.Exists(...)) - 打开时指定最小必要权限,例如只读就用
FileAccess.Read,避免FileAccess.ReadWrite引发额外 ACL 检查 - 显式设置
FileShare.None(默认值),防止因共享模式不同引入时序毛刺
示例:
try {
using var fs = new FileStream(path, FileMode.Open, FileAccess.Read, FileShare.None, 4096, FileOptions.SequentialScan);
// 处理文件内容
}
catch (FileNotFoundException) {
// 统一处理“不存在”逻辑
}
catch (UnauthorizedAccessException) {
// 权限不足,同样视为不可访问
}
FileOptions.Asynchronous 和 FileOptions.RandomAccess 对时序的影响
异步标志本身不增加侧信道风险,但若混用同步/异步路径(比如存在时用 File.ReadAllText,不存在时走异步 fallback),就会制造新的时序岔路。随机访问标志则可能改变底层缓冲策略,影响预读行为。
- 全链路保持同步或全异步,不要混合;推荐统一用同步 I/O,减少线程调度引入的抖动
- 避免
FileOptions.RandomAccess,除非真需要跳转读取;它会禁用 OS 预读,反而放大存在/不存在路径的 I/O 模式差异 -
FileOptions.SequentialScan是更安全的选择,它向系统声明顺序读取意图,有助于缓存行为收敛
真正要保护的不是“文件存不存在”,而是“你是否知道它存在”
攻击者不需要精确判断某个路径是否存在,只要能区分“你代码里写了这个分支”和“你根本没考虑这个路径”,就能反向推测业务逻辑。比如登录接口对 admin.key 响应慢 200ns,而 guest.key 快得多——说明代码里有特殊处理 admin 路径的逻辑。
- 所有敏感路径的访问逻辑必须完全一致:相同 try/catch 结构、相同 buffer size、相同
FileOptions、相同后续处理(哪怕只是丢弃字节) - 如果必须差异化处理,把差异后移到内存操作阶段,例如统一读取 1KB 再用固定时间算法解密/校验
- 生产环境务必关闭调试符号和详细错误页,
FileNotFoundException的堆栈深度、消息长度都可能成为辅助信道
时序侧信道没法彻底消除,只能收束到可控范围内。最危险的不是你用了 File.Exists,而是你在不同分支里用了不同的 I/O 模式、缓冲区大小、异常处理粒度——这些才是攻击者真正盯上的裂缝。
