静态代码扫描问题修复之--(输入验证 路径遍历java)

已于 2024-05-13 14:49:53 修改
阅读量1.3k 收藏 7
点赞数 15
分类专栏: 安全测试和单元测试 文章标签: java 安全性测试
于 2024-05-13 11:36:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn466412618/article/details/138795260
版权

问题描述:

当前系统在处理用户提供的文件路径时,直接利用未经严格校验的输入执行文件操作,这暴露了路径遍历的安全风险。攻击者可借助特殊字符(如..)构造输入,绕过预期的安全限制,非法访问或修改系统中的重要文件。例如,即使输入检查看似限制了路径必须以/safe_dir/开头,但未有效阻止后续的../序列,导致能够访问上层目录,如输入/safe_dir/../important.dat可删除重要文件的上级目录。

缺陷类型:

应用程序对用户可控制的输入未经合理校验,就传送给一个文件API。攻击者可能会使用一些特殊的字符(如../)摆脱受保护的限制,访问一些受保护的文件或目录。

*例如*:下面代码片段通过验证输入路径是否以/safe_dir/为开头,来判断是否进行创建、删除操作。

java
​
...
​
String path = getInputPath();
​
if (path.startsWith("/safe_dir/")){
​
  File f = new File(path);
​
  f.delete();
​
}
​
...
​

攻击者可能提供类似下面的输入:

/safe_dir/../important.dat

程序假定路径是有效的,因为它是以/safe_dir/开头的,但是../将导致程序删除important.dat文件的父目录。

修复建议

预防路径遍历的威胁,有以下三种方法:

  1. 程序对非受信的用户输入做过滤和验证,对网站用户提交的文件路径进行硬编码或统一编码,过滤非法字符。

  2. 对文件后缀进行白名单控制,拒绝包含了恶意的符号或空字节。

  3. 合理配置Web服务器的目录访问权限。 示例:以下代码使用ESAPI对用户输入路径进行过滤。

import org.owasp.esapi.ESAPI;
...
String path = getInputPath();
String rootPath = PropertiesUtil.getProperty("ESAPI_VALID_ROOT");
String validDirectoryPath = ESAPI.validator().getValidDirectoryPath("用户输入路径", path, new File(rootPath), false);
File f = new File(validDirectoryPath);
f.delete();
...

缺陷代码样例截图

缺陷修复的代码示例:

import org.owasp.esapi.ESAPI;
​
// 获取并验证用户输入路径
String userInputPath = getInputPath();
String safeRoot = System.getenv("SAFE_DIRECTORY"); // 假设环境变量中定义了安全根目录
String securePath = ESAPI.validator().getValidDirectoryPath("用户输入路径", userInputPath, new File(safeRoot), false);
​
// 使用验证后的路径创建File对象
File securedFile = new File(securePath);
​
// 执行安全的文件操作
// 注意:具体操作需根据实际需求调整,并确保操作符合最小权限原则
潘涛智码工坊
关注
  • 15
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
ESAPI学习笔记
weixin_30487201的博客
12-22 1269
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
遍历目录,扫描文件
08-28
VC6下编译通过,为了节省大小,删掉了debug目录,总体功能是遍历指定目录下(例子为system32)的文件,然后扫描制定名字(例子为dll)的文件,并记录。可以根据自己的需求来做更改
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
java 目录遍历漏洞_路径遍历 漏洞修复
weixin_39653717的博客
02-26 3416
package net.radar.util;import java.util.regex.Pattern;public class PreventTraversalUtil {private static Pattern FilePattern = Pattern.compile("[\\\\/:*?\"<>|]");/*** 路径遍历 漏洞修复* @param str* @retu...
Java路径遍历漏洞修复心得
热门推荐
小猪呀的博客
02-01 1万+
一、路径遍历 路径遍历是指应用程序接收了未经合理校验的用户参数用于进行与文件读取查看相关操作,而该参数包含了特殊的字符(例如“..”和“/”),使用了这类特殊字符可以摆脱受保护的限制,越权访问一些受保护的文件、目录或者覆盖敏感数据。本文以JAVA 语言源代码为例,分析路径遍历缺陷及该缺陷产生的原因及修复方法。 二、缺陷代码 172行因为localFile因为接收参数后未对参数做合理校验,可能会收到../file.text,假定文件路径有效,则可能导致读取了 uploads 父目录下的 file.t
java代码审计:路径遍历
qq_34778376的博客
03-11 3377
漏洞描述 路径遍历是指应用程序接收了未经合理校验的输入参数用于进行与文件读取、写入、查看相关操作。 攻击者可以通过输入特殊构造的文件名,来下载应用程序的执行文件或查看服务器中受保护目录下的文件、目录或者覆盖敏感数据 。 在大多数情况下,构造的文件路径的参数虽然未过滤处理,但不能由用户控制。 如果是这样,不属于路径遍历漏洞的情况。 缺陷代码: @GET @Path("/images/{image}") @Produces("images/*") public Response getImage(@javax.
Java代码审计之路径遍历
liguangyao213的博客
03-09 1627
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 路径遍历漏洞代码/PathTraversal 第一个访问url为 windows: c:\boot.ini (系统版本) linux: http://localhost:8080/path_traversal/vul?filepath=../../../../../etc/pa
java修复路径遍历漏洞_应用安全 - 中间件 - 解析漏洞 - 路径遍历 - 漏洞 - 汇总...
weixin_31459297的博客
02-27 807
../../../WEB-INF/web.xml../../../../../../etc/passwdC:/inetpub/wwwroot/global.asaC:\inetpub\wwwroot\global.asaC:/boot.iniC:\boot.iniD:\inetpub\wwwroot\global.asaD:/inetpub/wwwroot/global.asa(1)xx.php?...
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 5462
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
修复路径遍历或任意文件下载漏洞
laok186的博客
08-01 5896
通过过滤入参特殊符合进行路径遍历拦截
javaWeb安全验证漏洞修复总结
12-29
javaWeb安全验证漏洞修复总结j,涉及到1.会话未更新。2.SQL注入,盲注。3已解密请求。4.跨站点请求伪造。5不充分账户封锁 等近10来个的问题解决心得
java 开发的漏洞检测程序 Yasca
05-15
Yasca通过静态分析源代码来查找潜在的安全问题,而不是依赖于程序的运行状态,这使得它能够在代码编写阶段就能进行安全检查,避免了传统动态分析的局限。 **Yasca的功能特性** 1. **多语言支持**:由于是用Java...
wavsep一个免费的扫描网站
02-19
wavsep提供的测试用例可以帮助测试者找出潜在的安全漏洞,如SQL注入、跨站脚本(XSS)、路径遍历等。 2. **开源**:开源意味着wavsep的所有源代码都是公开的,任何人都可以查看、修改和分发。这种开放性鼓励了社区...
LAPSE+ is a security scanner,
最新发布
12-29
3. 路径遍历:通过分析代码中的文件操作,LAPSE+可以找出可能导致路径遍历漏洞的部分,攻击者可能利用这个漏洞访问服务器上的非预期文件或目录。 4. 权限绕过:LAPSE+会检查权限控制是否足够严谨,防止攻击者通过未...
Fortify:源代码防御の审计
03-24
5. **验证**:再次扫描修复后的代码,确认漏洞已消除。 6. **持续集成**:将Fortify集成到CI/CD流程中,确保新代码在合并前通过安全检查。 总的来说,Fortify通过自动化源代码审计,帮助IT团队提高软件安全,减少因...
基于字节码搜索的Java反序列化漏洞调用链挖掘方法.zip
10-16
5. **安全修复建议**:一旦确认漏洞,应提供相应的修复方案,如引入输入验证、使用安全的反序列化库或者限制敏感方法的调用权限。 通过这样的方法,开发者可以更系统地识别和预防Java反序列化漏洞,提高软件的安全...
ESAPI配置文件属性说明原文档
qq_40260565的博客
11-06 2918
ESAPI配置文件属性说明原文档 由于经常连不上github,索性就从github上直接copy下来了,git地址:https://github.com/ESAPI/esapi-java-legacy/blob/develop/configuration/esapi/ESAPI.properties # # OWASP Enterprise Security API (ESAPI) Properties file -- PRODUCTION Version # # This file is part of
ESAPI接入
u013529468的博客
08-22 2033
代码】ESAPI接入。
静态代码扫描工具java_静态代码扫描工具
05-13
Java静态代码扫描工具很多,以下是一些常用的: 1. FindBugs:是一个开源的静态代码分析器,可以检查Java代码中的错误、缺陷和潜在的性能问题。 2. PMD:也是一个开源的静态代码分析器,可以检查Java代码中的代码规范和潜在的性能问题。 3. Checkstyle:是一个开源的代码规范检查工具,可以帮助开发人员遵循Java代码的规范。 4. SonarQube:是一个开源的代码质量管理平台,可以集成多种静态代码扫描工具,提供全面的代码质量分析。 5. IntelliJ IDEA:是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 6. Eclipse:也是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 以上工具都有各自的特点和优缺点,可以根据实际需要选择使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

潘涛智码工坊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值