FORTIFY安全漏洞:路径过滤非法字符

最新推荐文章于 2023-06-05 10:06:33 发布
最新推荐文章于 2023-06-05 10:06:33 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: 代码 文章标签: fortify 路经非法字符过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alizhuana/article/details/84637959
版权

 在上传和下载的时候,容易被攻击,主要是因为有../  ./   *  ?  等非法字符,因此需要对路径进行过滤,直接上代码:

private final static  Map<String, String> pathCharWhiteList = new HashMap<String, String>();
	static{
        //路径字符白名单
		String pathCharWhiteListResources = "abcdefghijklmnopqrstuvwxyz_123457890ABCDEFGHIJKLMNOPQRSTUVWXYZ./\\";
		if (StringUtils.hasLength(pathCharWhiteListResources)) {
			for (int i = 0; i < pathCharWhiteListResources.length(); i++) {
				String c = String.valueOf(pathCharWhiteListResources.charAt(i));
				pathCharWhiteList.put(c,c);

			}
		}
	}

	/**
	 * 过滤../   ./
	 * @param filePath
	 * @return
	 */
	public static String validFilePath(String filePath) {
		String temp = "";
		for (int i = 0; i < filePath.length(); i++) {

			String curStr = String.valueOf(filePath.charAt(i));
			String nextStr = null;
			try {
				nextStr = String.valueOf(filePath.charAt(i + 1));
			} catch (Exception e) {}

			String curListStr = pathCharWhiteList.get(curStr);
			if (curListStr != null && curStr == "\\") {
				String sysFileSeparator = File.separator;
				if (null != sysFileSeparator && sysFileSeparator.equals(curStr)) {
					temp += curStr;
				}
			}else if(curListStr != null && (!".".equals(curStr))) {
				temp += curStr;
			} else if (curListStr!= null && (".".equals(curStr)) &&(!".".equals(nextStr)) && (!"\\".equals(nextStr)) && (!"/".equals(nextStr))) {//过滤../   ./
				temp += curStr;
			}
		}
		filePath = temp;
		return filePath;
	}

	public static void main(String[] args) {
		String str = ".././1111/kksdf/sdfsdf123.lll";
		String str1 = validFilePath(str);
	}

 

MissMySwallow
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
26-非法字符过滤
weixin_aqing的博客
01-13 422
2,思路分析 1.创建一个表单用于发表言论。 2.创建一个txt文件,其中存入非法字符。(方便以后对敏感词汇库进行扩展) 3.创建一个Filter,拦截请求。在init方法中将txt文件中的非法字符读取到内存中。 4.获取请求中的参数,对请求的参数进ms行非法字符的校验。 5.如果言论中不含有非法字符,就放行。 6.如果言论中含有非法字符,就拦截,并且提示用户非法言论。 3,代码实现 WordFilter package com.itheima.filter.k_demo敏感词汇; impor..
不安全文件下载与上传之——上传漏洞之——路径/扩展名绕过之——黑名单白名单绕过
温柔小薛的博客
04-06 1239
黑名单绕过 (这标题也忒长了点了) 大家谁懂那个如何针对 php和windows环境的叠加绕过文件上传 (不是DATA,是另一个特性) 这个绕过 进行一些防御呢 文件大小写 改变大小写 防御:统一转换为小写 名单绕过 比如黑名单里没有.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|...
过滤非法字符
pinyu的专栏
08-08 563
 再度改进,在脏字可能存在的情况下,例如出现了多个脏字前Length-1部分时,性能相比http://www.cnblogs.com/xingd/archive/2008/01/31/1060425.html中描述的又提升了300%~400%。直接贴出全部代码了,通过新增的一个byte[char.MaxValue]和BitArray(char.MaxValue),减少了大量的Substring和G
过滤器实现统一编码以及过滤非法文字
哈哈哈
05-27 596
一、新建过滤器 首先要新建一个过滤器,通过注解完成Filter配置 // 通过注解完成Filter配置,/*表示过滤所有请求 ​ @WebFilter("/*") 现在所有的页面都被过滤掉了,全部不能进行正常的请求,我们只需在doFilter()方法中写上 @Override ​ public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, S
解决Fortify漏洞:Access Specifier Manipulation
林夕
06-05 1050
Fortify 是一种静态代码分析工具,可用于识别源代码中的安全漏洞和错误。Fortify 检查程序是否存在潜在的安全漏洞,例如 SQL 注入、跨站点脚本攻击、缓冲区溢出、身份验证问题等。Fortify 使用一种名为“规则”的机制来检测这些漏洞。每个规则都是一个静态的模式匹配器,用于识别源代码中的特定模式或结构。当 Fortify 发现与规则匹配的代码时,它将生成一个安全漏洞警报,指出可能存在的风险并提供修复建议。
代码审查工具fortify安全问题解决方法
06-02
整理代码审查工具fortify扫描的高中低危问题解决方法
fortify安全基础知识 不同语言软件安全漏洞
05-27
Fortify作为一款强大的静态代码分析工具,被广泛用于检测不同编程语言的软件安全漏洞。本篇将详细介绍软件安全的基础知识,以及Java、CC++和dotNET这三种语言的软件安全漏洞类型。 首先,软件安全基础知识主要包括...
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA...如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
fortify-ui:Laravel Fortify驱动的对Laravel UI包的替换
02-02
FortifyUI自动执行Laravel Fortify的基本安装和配置,它包括Laravel Fortify建议实现自己的功能,并为您提供了围绕它构建自己的UI的支架。 因此,Fortify + UI。安装首先,您需要使用Composer安装FortifyUI 。 这也...
Fortify安全代码规则编写指南.rar
03-28
Fortify 安全代码使用指南 Chapter 1: 理解安全编码规则 这章节包括以下标题: 什么是安全编码规则? 什么是Secure Coding Rulepacks?什么是自定义规则?什么是漏洞类别?什么是规则类型 什么是安全...
安全测试工具fortify使用指南
最新发布
03-11
安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试...
fortify规则库: 2020.1.0.0009
03-17
Fortify是一款强大的静态代码分析工具,它用于检测应用程序源代码中的安全漏洞和质量问题。规则库是Fortify的核心组件,包含了各种预定义的检测规则,帮助开发者在编码阶段就能发现潜在的安全问题。2020.1.0.0009...
fortify-integration-sonarqube:Fortify SonarQube插件
05-27
器通过将Fortify on Demand和Fortify软件安全中心(SSC)的漏洞数据导出到可以由SonarQube导入的文件中来提供替代集成。 此轻量级集成基于SonarQube 7.2引入的,专门针对导入第三方分析结果。 确实有一些限制。 下...
Fortify SCA工具插件
03-04
Fortify Software Composition Analysis (SCA) 工具插件是一种强大的解决方案,用于检测应用程序源代码中的安全漏洞。这款插件专为开发人员和安全团队设计,帮助他们在软件开发生命周期的早期阶段识别并修复潜在的...
fortify rules
08-31
Fortify是一款强大的静态代码分析工具,用于检测软件源代码中的安全漏洞和质量缺陷。它能够帮助开发者在编码阶段就发现并修复潜在的问题,避免在后期维护或生产环境中出现安全隐患。"Fortify 2020 检测规则"指的是...
Fortify 代码扫描安装使用教程
热门推荐
回忆式~过去.的博客
05-17 2万+
Fortify安装使用简易教程 双击安装应用程序 点击Next进行下一步 接受协议,点击Next 选择安装位置或者默认位置,点击Next 勾选你要安装的插件,点击Next下一步 选择\fortify.license,点击下一步 选择更新服务器,这里可以不用填写 移除之前版本选择NO 安装实例代码项目选择No 准备安装,点击Next即可进行安装 安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下 应用程序搜索Scan Wizard,双击Audit Work
源码扫描工具Fortify SCA和FireLine对比说明
toto1222的专栏
07-19 2760
一、Fortify SCA 1.1软件简介 Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题。由于它是一款商业软件,这里只找到了一个早起的版本(V5.1)进行测试。 Fortify SCA主要的特性和优点如下: 1、业务最完整的静态代码分析器,以最大和最全面的安全编码规...
第37篇:fortify代码审计工具的使用技巧(1)-审计java代码过程
ABC_123的博客
12-19 2890
Part1 前言在正式文章之前,插播一下:恭喜梅西圆梦,获得世界杯冠军,加冕球王,一场精彩绝伦的球赛。开心之后,还是要静下心学习的,我们也要继续努力。Fortify全名叫Fortify SCA,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款很厉害的Web漏洞扫描器叫Webinspect。美国的Fortify、美国的Coverity、美国的Codesecure、美国的IBM...
Fortify自定义规则笔记(一)
liweibin812的博客
02-14 1万+
一. Fortify SCA 自定义规则介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA 团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使得...
Fortify SCA指南:详解工具使用与命令解析
Fortify SCA 是一种强大的静态代码分析工具,用于检测软件中的安全漏洞和代码质量问题,支持多种编程语言如Java、C/C++、.NET等。 首先,分析原理部分讲解了Fortify SCA的核心组件,如AuditWorkbench负责管理扫描...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值