软件弱点预防之 —— Filesystem path, filename, or URI manipulation - 操控文件系统路径、文件名或 URI

最新推荐文章于 2024-08-22 14:52:52 发布
最新推荐文章于 2024-08-22 14:52:52 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: Web开发安全 文章标签: 软件弱点 路径遍历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscar999/article/details/127293940
版权
本文介绍了软件弱点——路径遍历(Directory Traversal)及其危害,通过Java代码示例展示了如何利用外部输入构造文件路径进行攻击。建议采取环境强化、输入校验、限制文件类型、使用路径规范化函数等措施来防止此类漏洞,确保系统安全。
摘要由CSDN通过智能技术生成

缺陷描述

Filesystem path, filename, or URI manipulation ,操控文件系统路径、文件名或 URI。

该缺陷指的是当使用外部的输入来构造一个文件路径时,如果路径中包含有一些特殊字符(… 或者 / 等),导致可以访问到期望目录之外的文件。

举例来说, 如果允许访问 /usr/local/myapp 目录下的文件, 如果构造的路径地址是 /usr/local/myapp/../../../etc/passwd, 这样访问到的文件就是 /etc/passwd, 而这个系统文件里面包含了系统用户的相关信息, 如下图所示:
在这里插入图片描述

该缺陷的别名有:

  • Directory traversal(目录遍历)
  • Path traversal(路径遍历)
    在CWE中定义的ID是22, 即 CWE-22: Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) , 中文意思是 : 路径名对受限
了解本专栏 订阅专栏 解锁全文 超级会员免费看
oscar999
关注
专栏目录
订阅专栏
Java防御路径操作(Path Manipulation) 的正确姿势
oscar999的专栏
01-11 6714
本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。
java path manipulation怎么解决
weixin_40186889的博客
07-13 184
解决Java路径操作的问题 在Java开发中,经常会涉及到路径的操作,比如文件的读取、写入、拷贝等。有时候我们会遇到一些路径相关的问题,比如路径拼接、规范化等。本文将介绍一些解决Java路径操作问题的方法,并提供示例代码。 问题描述 在Java中,处理路径时常会遇到一些问题,比如路径分隔符不一致、相对路径解析等。这些问题可...
Path Manipulation 路径操作
Dearzh的博客
11-15 152
Abstract: 攻击者可以控制 AttachmentController.java 中第 205 行的 File() 文件系统路径参数,借此访问或修改其他受保护的文件。 Explanation: 当满足以下两个条件时,就会产生 path manipulation 错误: 1. 攻击者可以指定某一文件系统操作中所使用的路径。 2. 攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情...
android调用系统文件浏览器获得uri或者文件路径
WALLEZhe的博客
06-08 4939
基本思路: 1.使用隐式intent和startActivityforResult开启系统文件浏览器。 2.使用onAcitivityRsult方法接受返回的 intent,取出其中包含的uri(注意这不是文件路径,但是和文件路径可以相互转化)。 3.下面注释的就是其中的获取文件路径的代码。要注意根据你选择的文件类型修改MediaStore.后面的内容。也就是把Image换成音频或者其他的。
filesystem::path
PI2024的专栏
04-26 331
string() andgeneric_string()
文件路径Uri
afunyusong的专栏
04-10 352
http://blog.csdn.net/kwongfung/article/details/8467442http://blog.csdn.net/fhlkm/article/details/7783774
boost::filesystem::path 获取路径中文件的名字
qq_39400324的博客
05-06 844
用boost库写一个获取路径中文件的名称的代码,例如文件路径为:/mnt/data/LCC/rosbag/test105/calib/2.jpg,需要返回2.jpg。
File IO(NIO.2):路径类 和 路径操作
该怎么解释?我懒得解释
10-09 573
路径类 Java SE 7版本中引入的Path类是java.nio.file包的主要入口点之一。如果您的应用程序使用文件I / O,您将需要了解此类的强大功能。 版本注意:如果您有使用java.io.File的JDK7之前的代码,则仍然可以使用File.toPath方法来利用Path类功能。有关详细信息,请参阅传统文件I / O代码。 顾名思义,Path类是文件系统路径的编程表示形式。
Chrome的启动参数
Criss@陈磊
02-23 4724
List of Chromium Command Line Switches Condition Explanation --[1]⊗ Classic, non-material, mode for the |kTopChromeMD| switch.↪ --0⊗ Value of the --profiler-timing flag that will disable timin...
OSCP Learning Notes - Privilege Escalation
weixin_30642561的博客
07-29 4107
Privilege Escalation Download the Basic-pentesting vitualmation from the following website: https://www.vulnhub.com/entry/basic-pentesting-1,216/ 1.Scan the target server using nmap. nmap...
存储那些事儿(一):异构虚拟化一种实现SMIS
热门推荐
anzhsoft的技术专栏
01-18 1万+
1. 背景        企业存储是企业信息系统管理很重要的组成部分。企业存储包含了大量的数据,供大量人使用。对于航空系统和金融系统来说,信息存储就更加重要了。 作为企业信息存储,扩展性是非常重要的,因为现在企业对于空间的使用越来越多。          那么一个企业可能会采用其他存储厂商的产品,原来信息如何保留? 使用数据迁移功能(migration),可以将数据转移到其他系统上。但是企业数据数
File()文件参数安全问题,求大神解答!!!急急急
weixin_33953384的博客
10-10 1603
具体代码如下:Files file= FilesMapper.selectByPrimaryKey(“D:/java/eclipse32/workspace/jbpmtest3/bin/aaa.xml”); File dirFile = new File(config.gettValue()); 白盒测试结果为---漏洞问题,如下***者可以控制 File(...
Java路径操纵风险解决 Fix Path Manipulation Vulnerability in java
最新发布
weixin_44012027的博客
08-22 88
【代码】Java路径操纵风险解决 Fix Path Manipulation Vulnerability in java。
Java之路径操纵解决的误区
oscar999的专栏
02-09 1614
目前网络上查询的Java解决 Path Manipulation 弱点的方案是不足的甚至是错误的,有一定的误导性。比如stackoverflow 有一篇的解决方案是建议使用 Java本身的Path 或者是Apache Common IO 的normalize()方法来对路径进行规范化处理。
Fortify Path Manipulation
安全新司机
05-19 2765
文章目录描述场景任意文件下载代码分析修复方案建议任意文件上传代码实现修复建议代码地址 描述 在对文件进行操作(读,写,删除)的过程中,未对文件路径进行有效的合法性校验,导致文件被任意下载,上传任意文件导致服务器被种植木马,getshell 场景 任意文件下载 任意文件上传 任意文件下载 任意文件下载漏洞,一些网站由于业务需求,往往需要提供文件查看或文件下载功能,正常的利用手段是下载服务器文件,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件 代码分析 @RestControll
UNIX-like操作系统文件系统层级标准
Linux 文件系统层次标准(Filesystem Hierarchy Standard, FHS)是一个规定了Linux操作系统中文件和目录放置规则的标准。该标准由Filesystem Hierarchy Standard Group编写,主要编辑者包括Rusty Russell、Daniel ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值