记一次File 文件安全性检查fix

最新推荐文章于 2023-06-06 01:55:13 发布
最新推荐文章于 2023-06-06 01:55:13 发布
阅读量287 收藏 2
点赞数
分类专栏: 工作笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32904533/article/details/118328451
版权

背景

当前Struts框架中有一段common逻辑的get file 的 .do 代码,是根据reqeust中穿的parameter来索引server中的静态文件比如pdf ,image ,由此衍生出可以通过拼接当前路径可以尝试访问其他本应无权访问的文件例如 C:/Users/XXXX/Desktop/…/package-lock.json
filename 拼接逻辑不可变,因为是高可用common get file的代码

拼接逻辑 :

本地properties 读取前一部分文件路径(环境隔离)+ 参数传入后一部分文件路径及文件名

原本思路:

遍历properties 读取的前一部分文件路径 文件, foreach 校验当前传入的filename 是否存在

最终解决:

使用file 内部自带的方法 : file.getCanonicalPath(); 以及 file.getAbsolutePath(); 进行比对
getCanonicalPath 会自动去除 …/ 并生成编译后的新路径 如 : C:/Users/XXXX/Desktop/…/package-lock.json -->C:/Users/hz03178/package-lock.json
将此路径与原本的getAbsolutePath 进行比对,若不一致,则认为是非法get 文件操作

Levi__Zhang
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php安全配置录和常见错误梳理(总结)
10-20
相反,启用`log_errors`将错误录在日志中,既能保证安全性,又能方便排查问题。 `magic_quotes_gpc`是一个已经废弃的功能,用于自动对输入数据进行转义以防止SQL注入。然而,它并不完全可靠,而且容易产生新的...
Java----File类详解
LingDu
02-07 5024
File类 构造方法 创建文件/文件夹 删除文件/文件夹 修改文件文件进行判断 获取文件属性 搜索文件 文件过滤
10-java实现对上传文件安全性检查
CAT
03-14 9265
文件安全性检查
2023.6.5 检查文件上传的安全性 数据存储优化 限流
weixin_63742275的博客
06-06 230
垂直分库,指的是根据业务模块的不同,将不同的字段或表分到不同的数据库中。:水平分表是将同一张表中的数据按一定的规则划分到不同的物理存储位置上,以达到分摊单张表的数据及访问压力的目的。**补充:**比如下图这张表,我只想要x,y这两列,就要先把所有的原始数据查出来,然后再去做过滤。**规状:**找们巴每个图表的泉始数居全部存放仕了同一个数居表(chart表)的字段里。**问题:**使用系统是需要消耗成本的,用户有可能疯狂刷量,让你破产。**思考:**限流阈值多大合适?**比如:**我们的。
java 文件路径校验_java中File的绝对路径和相对路径的校验
weixin_42153801的博客
02-19 3053
1、首先看一下File中参数的集中形式①//构造函数File(String pathname)File f1 = new File("c:\\1.txt");②//File(String parent,String child)File f2 = new File("c:\\abc","2.txt");③//File(File parent,String child)File f3 =new Fi...
java文件操作getAbsolutePath和getCanonicalPath的区别
Super_Ninja的专栏
11-03 5467
一般情况下,二者得到的结果是
安全基线脚本使用指导V11
08-08
安全基线脚本使用指导V11是一份详细的文档,主要针对系统管理员和安全专家,旨在帮助他们确保其系统的安全性和合规性。这份脚本基于Python3和Bash Shell,适用于进行安全巡检、生成报告以及创建修复脚本。特别需要...
Fix_Damaged_FAT_Manually.rar_Damaged
09-23
标题 "Fix_Damaged_FAT_Manually.rar_Damaged" 暗示了这是一个关于手动修复损坏FAT(File Allocation Table)的教程。FAT是早期Windows操作系统中用于管理磁盘存储的一种文件系统。当FAT出现问题时,可能会导致数据...
permission_control_fix.zip
09-18
在Java编程语言中,权限控制是系统安全的重要组成部分。`permission_control_fix.zip`这个压缩包可能包含了解决或...如果你在开发过程中遇到与权限相关的错误或需要优化安全性,这个压缩包或许能提供有价值的解决方案。
图片上传的安全校验
热门推荐
fan
01-15 1万+
网上百度了一下验证图片上传的,发现大多都只是做了一个文件后缀名的判断 控制层用的框架SpringMVC 上传文件时,后台使用MultipartFile对象接收,前台action的enctype属性必须设置为multipart/form-data,提交方式必须为post提交 保存文件 后台使用MultipartFile对象保存文件时,需要确保保存文件的目录存在,否则会报错 方法内参数file为目...
文件路径检查
10-29
c#目录浏览包含映射的网络路径,解决未启用网络路径的问题
File()文件参数安全问题,求大神解答!!!急急急
weixin_33953384的博客
10-10 1592
具体代码如下:Files file= FilesMapper.selectByPrimaryKey(“D:/java/eclipse32/workspace/jbpmtest3/bin/aaa.xml”); File dirFile = new File(config.gettValue()); 白盒测试结果为---漏洞问题,如下***者可以控制 File(...
如何确保文件数据的传输安全性
镭速的博客
12-28 5791
在当今互联网时代,业务越来越受数据驱动。为了使您的组织取得成功,不仅需要安全地发送,接收和访问大量数据,这一点至关重要。但是,您传输的越多,文件安全性问题的可能性就越大。 所以你会怎么做?正如谚语所说,最好的进攻是一个很好的防守。虽然在很多方面,正确的通信解决方案可以提供帮助。那么,应该如何更好地确保文件传输的安全性? 知识是关键。随着私人聊天应用程序使用的蓬勃发展,以手指轻敲共享数据已...
java file 绝对路径_java中File的绝对路径和相对路径的校验
weixin_42502165的博客
02-13 373
1、首先看一下File中参数的集中形式①//构造函数File(String pathname)File f1 = new File("c:\\1.txt");②//File(String parent,String child)File f2 = new File("c:\\abc","2.txt");③//File(File parent,String child)File f3 =new Fi...
检验文件夹路径是否合法-MFC
zaishaoyi的专栏
09-10 4406
转自点击打开链接
文件上传漏洞检测及绕过姿势小结
LUOBIKUN的博客
09-23 3051
文件上传漏洞概述 定义 Web应用程序一般都具有上传功能,如果服务端代码未对客户端上传的文件进行严格的验证和过滤,恶意攻击者可以上传脚本文件并被服务器解析,文件上传漏洞就产生了。 检测及绕过姿势汇总 一般来说,关于文件上传漏洞的检测分为两个大方面: 注明: 以下的绕过方法,是针对具体的某种检测方式而言,现实中遇到的环境,大多是多种检测方式的组合,绕过方式也视具体而定。 客户端检测 原理: 在网页上写一段Javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。 绕过方法: 1.直接禁用J
url重定位保证路径安全
百雨的博客
03-29 399
url重定位 (1)MEDIA_URL是媒体文件前端的路由,给你重定向到MEDIA_ROOT,内部就会用MEDIA_ROOT里面的绝对路径找到资源位置,而对用户展现的路径还是/media/,不让用户看具体路径,起到了保护作用 (2)MEDIA_URL的值不可以和STATIC_URL一样 (3)MEDIA_ROOT是媒体文件上传的根目录,会和imageField当中的upload拼接形成 完...
Java安全编程需要考虑的问题
尘世中迷途小码农的专栏
12-08 4898
这篇文章简要讨论了Java安全编程需要考虑的若干问题,通过对这些问题的深入理解,能够帮助我们在实际编码过程中避免出现安全相关的问题,从而提高代码质量。 由于时间关系,没有给出每个场景的示例代码,仅说明了该场景可能出现的安全问题以及对应的解决办法。 概述 一般而言,安全编程的目标有以下三点: 机密性 完整性 可用性 机密性要求数据不被他人轻易获取,需要进行数据加密。 完整性要求数据不被他人随意修改,需要进行指纹计算。 可用性要求服务不被他人恶意攻击,需要进行数据校验。 在Java中,安全.
adb 一次性push 多个文件
最新发布
06-19
ADB (Android Debug Bridge) 是一个强大的命令行工具,用于与 Android 设备进行交互,包括文件传输。如果你想要一次性将多个文件推送到 Android 设备,可以使用 `adb push` 命令的批量模式。 批量推送多个文件的命令格式如下: ```bash adb push [源文件路径]... [目标设备路径] ``` 例如,假设你在本地有三个文件 `file1.txt`, `file2.png`, 和 `file3.zip`,你想将它们推送到 Android 设备的 `/sdcard/Download` 文件夹中,命令会是这样: ```bash adb push file1.txt file2.png file3.zip /sdcard/Download ``` 执行这个命令后,所有指定的文件会被依次推送到目标路径。得替换 `file1.txt`, `file2.png`, 和 `file3.zip` 为实际的文件路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值