Java防御路径操作(Path Manipulation) 的正确姿势

已于 2023-02-09 22:26:52 修改
阅读量6.2k 收藏 2
点赞数
分类专栏: Java 基础、进阶与实战和笔试面试 Web开发安全 文章标签: java 安全 路径操作
于 2023-01-11 22:30:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscar999/article/details/128652020
版权

路径操作(Path Manipulation)的漏洞,简言之就是在路径中包含有一些特殊字符(… 或者 / 等),导致可以访问到期望目录之外的文件。

比如路径地址是/usr/local/myapp/../../../etc/passwd,对应到访问到的文件就是/etc/passwd, 而这个文件是系统的文件,保存用户密码。

使用Coverity 扫描的信息如下:

Filesystem path, filename, or URI manipulation
An attacker may access, modify, or corrupt files that contain sensitive information or are critical to the application.

关于路径操作漏洞,可以参考:
软件弱点预防之 —— Filesystem path, filename, or URI manipulation - 操控文件系统路径、文件名或 URI

本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。

防御方法分析

在代码层面来看, 防御路径操作的方法就是对输入进行验证,根据对字符是否合法的角度来看, 可以分为两种:

  1. 黑名单 : 将不安全的字符列入黑名单,
  2. 白名单 : 将预期的字符加入白名单。 或者更严格一点,创建一份合法资源名的列表,并且规定用户只能选择其中的文
了解本专栏 订阅专栏 解锁全文 超级会员免费看
oscar999
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
结合Coverity扫描Spring Boot项目进行Path Manipulation漏洞修复
oscar999的专栏
02-09 1412
本篇介绍使用Coverity 扫描基于Spring Boot 项目中的Path Manipulation 漏洞, 进而解决风险,并且可以通过扫描
Java路径操纵解决的误区
oscar999的专栏
02-09 1367
目前网络上查询的Java解决 Path Manipulation 弱点的方案是不足的甚至是错误的,有一定的误导性。比如stackoverflow 有一篇的解决方案是建议使用 Java本身的Path 或者是Apache Common IO 的normalize()方法来对路径进行规范化处理。
Fortify漏洞之Path Manipulation路径篡改)
arkqyo2595的博客
05-09 4498
  继续对Fortify的漏洞进行总结,本篇主要针对Path Manipulation路径篡改)的漏洞进行总结,如下: 1、Path Manipulation路径篡改) 1.1、产生原因: 当满足以下两个条件时,就会产生 path manipulation 错误: 1. 攻击者可以指定某一文件系统操作中所使用的路径。 2. ...
Fortofy扫描安全漏洞解决——Path Manipulation (Input Validation and Representation, Data Flow) 文件路径安全漏洞
weixin_52536274的博客
12-21 1132
Path Manipulation (Input Validation and Representation, Data Flow) 文件路径安全漏洞Fortofy的官方问题描述说明比较难理解,简言之,文件路径安全,那么如何解决呢?
开发安全之:Path Manipulation
最新发布
irizhao的专栏
01-18 902
但在某些情况下,这种方法并不可行,因为这样一份合法资源名的列表过于庞大,维护难度过大。但是,任何这样一个列表都不可能是完整的,而且将随着时间的推移而过时。更好的方法是创建一个字符列表,允许其中的字符出现在资源名称中,且只接受完全由这些被认可的字符组成的输入。例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。如果程序以足够的权限运行,且恶意用户能够篡改配置文件,那么他们可以通过程序读取系统中以扩展名 .txt 结尾的任何文件。进入程序的值,这一数值用于通过。
Fortify Path Manipulation
安全新司机
05-19 2493
文章目录描述场景任意文件下载代码分析修复方案建议任意文件上传代码实现修复建议代码地址 描述 在对文件进行操作(读,写,删除)的过程中,未对文件路径进行有效的合法性校验,导致文件被任意下载,上传任意文件导致服务器被种植木马,getshell 场景 任意文件下载 任意文件上传 任意文件下载 任意文件下载漏洞,一些网站由于业务需求,往往需要提供文件查看或文件下载功能,正常的利用手段是下载服务器文件,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件 代码分析 @RestControll
Path Manipulation Utilities-开源
07-09
C++ 中的路径操作实用程序。 使用类似 Python 的操作操作路径名字符串。
Fortify漏洞之 Path Manipulation 路径篡改问题解决笔记
热门推荐
dazhong2012的专栏
03-15 4万+
在文件上传中,代码扫描会产生 路径篡改(Path Manipulation)的缺陷,今天总结一下该问题的产生原因及解决方法。 一.问题描述 在使用 Fortify 扫描项目时,产生如下缺陷,该问题是说 使用如下代码: request.getParameter(“bizId”) 直接作为上传文件名称组成字段时会产生 路径篡改 FileRelation relation = fileRelation...
Fortify代码扫描漏洞-Path Manipulation路径操纵)
qq_41748175的博客
01-10 3124
1.扫描结果 2.演示 方式1:/users/wenfx/temple/test/FX 路径下有abc.txt 方式2: /users/wenfx/temple路径下也有abc.txt 原本传入方式1,当路径篡改变成2时,删除的文件就变了(读取一样) 3.解决方案 1.简单:过滤路径中../类似的特定字符。 2.复杂:路径篡改最有效的解决办法就是避免用......
StringManipulation:Java中的字符串处理算法
04-28
字符串操作 Java中的字符串处理算法
pdf-manipulation:PDF操作工具
04-29
pdf操作 PDF操作工具 添加或删除密码保护 添加水印图像 向每个页脚添加图章消息
String manipulation operations in java.zip
06-16
String manipulation operations in java.zip
adb-device-manipulation:JAVA中的ADB设备操作
04-27
adb设备操作 JAVA中的ADB设备操作
如何在浏览器中下载网站的https证书
oscar999的专栏
02-05 1万+
Chrome的证书管理其实是调用IE的那一套, 所以两者的界面是一样的。 在IE 11 中打开证书管理的方式: 点击最右边的齿轮状按钮 在弹出菜单选择 Internet Options 进入 Content 标签页 点击 “Certificates” 按钮 Microsoft Edge 打开证书管理的方式 1.查看和导出特定网站的证书。 点击地址栏前面的锁 点击 “连接安全” 点击显示证书的按钮 4.进入“详细信息”的标签页, 点击“复制到文件…”按钮可以导出该证
The valid characters are defined in RFC 7230 and RFC 3986-Tomcat解决方案
oscar999的专栏
03-16 1万+
The valid characters are defined in RFC 7230 and RFC 3986
公钥、私钥、数字签名和数字证书的概念及解密
oscar999的专栏
03-14 9718
* 密钥: 对称加密设置的密码 * 公钥: 公钥用于加密信息和解密数字签名 * 私钥: 私钥用于解密信息和加密消息摘要 * 消息摘要,数字指纹 : 对消息使用HASH算法获取的固定长度的字符串 * 数字签名: 使用私钥加密的消息摘要 * 数字证书:CA用自己的私钥,对需要认证的公钥及相关的信息进行加密
Access to XMLHttpRequest at ‘file:///D:/xx/xxx.json‘ from origin ‘null‘ has been blocked by CORS问题解决
oscar999的专栏
04-12 9315
在浏览器打开本地的html文件, 上面proxy中的url获取的就是一个本地文件, 协议是file://,如果是在服务器启动的话,则使用的是http或者https协议。 出于安全性考虑, Chrome默认禁止了这种用法,file协议和http/https协议不同,会被Chrome认为是跨域访问,所以会报被CORS(Cross-Origin Resource Sharing,跨域资源共享)的安全策略阻止。
Path Manipulation 漏洞java修复
06-09
Path Manipulation 漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞来修改程序中的路径,访问未授权的资源,或者执行恶意代码。为了修复这个漏洞,我们可以采取以下措施: 1. 不要直接使用用户提供的输入来构建文件路径。应该对用户输入进行验证和过滤,确保路径只包含可信任的字符。例如,可以使用Java的正则表达式来检查输入是否符合预期格式。 2. 使用Java的File类来构建文件路径,而不是手动拼接字符串。这样可以确保路径分隔符的正确性,避免因为不同操作系统使用不同的分隔符而导致的问题。 3. 使用安全的文件访问API,例如java.nio.file.Files类和java.nio.file.Path类,来读取和写入文件。这些API提供了更多的安全性和灵活性,可以防止一些常见的攻击,例如路径遍历攻击和符号链接攻击。 4. 在应用程序中启用沙箱环境,限制程序的访问权限,防止恶意代码的执行。例如,可以使用Java的SecurityManager类来限制程序的访问权限。此外,还可以使用Java的沙箱工具,例如Applet和Java Web Start,来运行不受信任的代码。 总之,为了修复Path Manipulation 漏洞,我们需要在程序中使用安全的文件访问API,对用户输入进行验证和过滤,使用安全路径构建方法,以及启用沙箱环境来限制程序的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值