Fortify 扫描报告中的 ‘Path Manipulation’ 问题

最新推荐文章于 2024-02-21 11:30:00 发布
最新推荐文章于 2024-02-21 11:30:00 发布
阅读量591 收藏
点赞数
分类专栏: vue相关开发,若依框架使用 文章标签: java 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axe6404/article/details/131701679
版权

Fortify 扫描报告中说这段代码不安全:


               

                if(finalMydir.endsWith("/")){
                    aimPath= finalMydir+code+name;
                    File aimDir=new File(finalMydir+code+name);
                    if(!aimDir.exists()){
                        aimDir.mkdir();
                    }
                }else{
                    aimPath= finalMydir+"/"+code+name;
                    File aimDir=new File(finalMydir+"/"+code+name);
                    if(!aimDir.exists()){
                        aimDir.mkdir();
                    }
                }

在代码中加入路径验证:

  if(aimPath.contains(".")){
            throw new Exception("参数非法。");
            }

if(finalMydir.endsWith("/

了解本专栏 订阅专栏 解锁全文 超级会员免费看
诸法空性
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Path Manipulation Utilities-开源
07-09
C++ 的路径操作实用程序。 使用类似 Python 的操作操作路径名字符串。
Fortify代码扫描漏洞-Path Manipulation(路径操纵)
qq_41748175的博客
01-10 3131
1.扫描结果 2.演示 方式1:/users/wenfx/temple/test/FX 路径下有abc.txt 方式2: /users/wenfx/temple路径下也有abc.txt 原本传入方式1,当路径篡改变成2时,删除的文件就变了(读取一样) 3.解决方案 1.简单:过滤路径../类似的特定字符。 2.复杂:路径篡改最有效的解决办法就是避免用......
Java防御路径操作(Path Manipulation) 的正确姿势
最新发布
wangluoanquan111的博客
02-21 1070
路径操作(Path Manipulation)的漏洞,简言之就是在路径包含有一些特殊字符(… 或者 / 等),导致可以访问到期望目录之外的文件。比如路径地址是,对应到访问到的文件就是而这个文件是系统的文件,保存用户密码。本篇介绍在 Java应用如何防御路径操作(Path Manipulation)的攻击。
Fortify安全漏洞一般处理方法
ting2909的博客
09-17 2656
前段时间公司又一轮安全审查,要求对各项目进行安全扫描,排查漏洞并修复,手上有几个历史项目,要求在限定的时间内全部修复并提交安全报告,也不清楚之前是如何做的漏洞修复,这次使用工具扫描来平均每个项目都还有大概100来个漏洞。这些漏洞包括SQL语句注入,C#后端代码,XML文件,以及前端HTML,JS代码几个方面,由于一些项目比较老旧,限定的时间又短,做大的改动如果测试不到位,很难保证不什么问题,所...
fortifyPath Manipulation issues in Java 问题解决
bkhech的专栏
09-18 3741
public class CleanPath { public static String cleanString(String aString) { if (aString == null) return null; String cleanString = ""; for (int i = 0; i < aString.leng
Java关键字fymd,JAVA程式碼一直被foritfy檢path manipulation
weixin_39996101的博客
03-21 312
我開發的JAVA程式碼在給Fortify檢測後,一直被查path manipulation…上網查大都是教人用文字白名單過濾,但我有兩個path manipulation問題,一是isr= new InputStreamReader 這行被檢,這看似無法套用文字過濾…二是 line = cleanString (br.readLine()); 這行,我本來想用文字過濾,但想到readline...
Fortify漏洞之 Path Manipulation 路径篡改问题解决笔记
热门推荐
dazhong2012的专栏
03-15 4万+
在文件上传,代码扫描会产生 路径篡改(Path Manipulation)的缺陷,今天总结一下该问题的产生原因及解决方法。 一.问题描述 在使用 Fortify 扫描项目时,产生如下缺陷,该问题是说 使用如下代码: request.getParameter(“bizId”) 直接作为上传文件名称组成字段时会产生 路径篡改 FileRelation relation = fileRelation...
Fortify Path Manipulation
安全新司机
05-19 2501
文章目录描述场景任意文件下载代码分析修复方案建议任意文件上传代码实现修复建议代码地址 描述 在对文件进行操作(读,写,删除)的过程,未对文件路径进行有效的合法性校验,导致文件被任意下载,上传任意文件导致服务器被种植木马,getshell 场景 任意文件下载 任意文件上传 任意文件下载 任意文件下载漏洞,一些网站由于业务需求,往往需要提供文件查看或文件下载功能,正常的利用手段是下载服务器文件,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件 代码分析 @RestControll
Java之路径操纵解决的误区
oscar999的专栏
02-09 1373
目前网络上查询的Java解决 Path Manipulation 弱点的方案是不足的甚至是错误的,有一定的误导性。比如stackoverflow 有一篇的解决方案是建议使用 Java本身的Path 或者是Apache Common IO 的normalize()方法来对路径进行规范化处理。
fortify扫描问题总结
04-07
fortify扫描问题总结,系统安全类
代码审查工具fortify安全问题解决方法
06-02
整理代码审查工具fortify扫描的高低危问题解决方法
Fortify SCA rules 2018最新版扫描规则
11-20
Fortify SCA rules 2018最新版扫描规则, 下载可以直接导入, 并提供报告, 安全可靠.
Fortify-SCA扫描指南
08-01
本指南详细介绍了fortify工具的详细使用过程,以及命令的使用说明
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine ...
Fortify漏洞之Path Manipulation(路径篡改)
arkqyo2595的博客
05-09 4502
  继续对Fortify的漏洞进行总结,本篇主要针对Path Manipulation(路径篡改)的漏洞进行总结,如下: 1、Path Manipulation(路径篡改) 1.1、产生原因: 当满足以下两个条件时,就会产生 path manipulation 错误: 1. 攻击者可以指定某一文件系统操作所使用的路径。 2. ...
Fortofy扫描安全漏洞解决——Path Manipulation (Input Validation and Representation, Data Flow) 文件路径安全漏洞
weixin_52536274的博客
12-21 1160
Path Manipulation (Input Validation and Representation, Data Flow) 文件路径安全漏洞Fortofy的官方问题描述说明比较难理解,简言之,文件路径不安全,那么如何解决呢?
fortify扫描c语言
08-19
要使用Fortify进行C语言代码的扫描,可以按照以下步骤进行操作: 1. 首先,使用Fortify的sourceanalyzer.exe进行编译处理和扫描。您可以在fortify bin目录下找到sourceanalyzer.exe。使用以下命令行选项可以扫描单个C文件: sourceanalyzer.exe -b build_id gcc.exe <编译选项> 2. 接下来,执行以下命令进行扫描: sourceanalyzer.exe -b build_id -scan -verbose -f build_id.fpr 3. 如果您希望扫描更大的项目或代码文件较大,可以选择拆分成一个文件夹一个文件夹进行扫描,这样可以提高扫描速度。 4. 扫描完成后,您可以使用Fortify的Audit Workbench进行进一步的分析。双击启动Audit Workbench,并点击选择Advanced Scan。 5. 在Advanced Scan,选择要扫描的源代码,并点击Next。 6. 选择要扫描的选项和规则包,根据您的情况进行配置。您还可以根据需要配置内存大小,以确保扫描过程不会现内存不足的情况。 7. 最后,点击Scan按钮开始扫描。 通过以上步骤,您就可以使用Fortify对C语言代码进行扫描,并获取安全漏洞的检测结果。请注意,具体的操作细节可能会因不同版本的Fortify而有所差异,建议您参考Fortify的文档或官方指南以获取更准确的操作步骤和信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [windows fortifySCA 扫描 c/c++ 项目](https://blog.csdn.net/SHELLCODE_8BIT/article/details/130170199)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Fortify 代码扫描安装使用教程](https://blog.csdn.net/qq_41648820/article/details/116937035)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

诸法空性

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值