问题描述:
应用上架安全检测报错,应用程序内含解压模式不安全,可能导致Path Traversal
问题原因:
这里的恶意漏洞的问题就在于:因为ZipEntry在进行压缩文件的时候,名称没有做任何限制,而在Android系统中../这种特殊符号代表的是回到上层目录,又因为这个解压工作在本应用中,可以借助app的自生权限,把恶意文件名改成:../../../data/data/...即可在解压的时候把文件解压到了应用的沙盒中。
解决方法:
当App中使用zipInputStream类对zip压缩包进行解压操作时,在zipEntry.getName()获取文件名后,必须添加过滤代码对文件名中可能包含的“../”进行过滤判断,即:文件名称不能包含"../"这种特殊字符。
while(( zipEntry = zipInputStream.getNextEntry()) != null ){
String entryName = zipEntry.getName();
if(entryName.contains("../")){
continue;
// 或者
// throw new Exception("发现不安全的zip文件解压路径!")
}
...
}
getCanonicalPath()
:此路径方法返回绝对唯一的标准规范路径名。此方法首先将此路径名转换为绝对形式,就像调用getAbsolutePath方法一样,然后以系统相关的方式将其映射到其唯一路径上。也就是说如果路径中包含“.”或“..”等当前路径及上层路径表示法,则会从路径名中删除“.”和“..”使用真实路径代替。
使用此方法对输入路径进行转换。
附路径检查方法:
下面的正则表达式可过滤../和其他字符
/**
* 路径遍历漏洞修复
* @param filepath 路径
* @return 安全路径
*/
public static String pathFilter(String filepath){
Pattern filePattern = Pattern.compile("\\.{2}\\/|[\\s:?<>|]");//过滤../和其他字符
return filepath == null ? null : filePattern.matcher(filepath).replaceAll("");
}