【代码扫描修复】绝对路径遍历(高危)

已于 2023-05-06 14:57:28 修改
阅读量2.2k 收藏 11
点赞数 3
分类专栏: 漏洞扫描 文章标签: java 开发语言
于 2022-11-21 17:27:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33204709/article/details/127968923
版权

漏洞描述:

摘要:

​ 允许用户输入控制文件系统操作所用的路径会导致攻击者能够访问或修改其他受保护的系统资源。

缺陷描述:

​ 当满足以下两个条件时,就会产生路径遍历错误:

  1. 攻击者可以指定某一文件系统操作中所使用的路径。
  2. 攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。

例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。

示例1: 下面的代码使用来自于 HTTP

请求的输入来创建一个文件名。程序员没有考虑到攻击者可能使用像 “…/…/tomcat/conf/server.xml” 一样的文件名,从而导致应用程序删除它自己的配置文件。

String rName = request.getParameter("reportName");
File rFile = new File("/usr/local/apfr/reports" + rName);
...
rFile.delete();

示例2: 下面的代码使用来自于配置文件的输入来决定打开哪个文件,并返回给用户。如果程序在一定的权限下运行,且恶意用户能够篡改配置文件,那么他们可以通过程序读取系统中以 .txt 扩展名结尾的所有文件。

fis = new FileInputStream(cfg.getPorperty("sub") + ".txt");
amt = fis.read(arr);
out.println(arr);

​ 有些人认为在移动世界中,典型的漏洞(如:path manipulation)是无意义的 – 为什么用户要攻击自己?但是,谨记移动平台的本质是从各种来源下载并在相同设备上运行的应用程序。恶意软件在银行应用程序附近运行的可能性很高,他们会强制扩展应用程序的攻击面(包括跨进程通信)。

示例3: 以下代码 “ 示例1 ” 改编未适用于 Android 平台。

...
String rName = this.getIntent().getExtras().getString("reportName");
File rFile = getBaseContext().getFileStreamPath(rName);
...
rFile.delete();
...

解决方案:

官方建议:

​ 防止路径遍历的最佳方法是采用一些间接手段:例如创建一份和合法资源名的列表,并且规定用户只能选择其中的文件名。通过这种方法,用户就不能直接由自己来指定资源的名称了。

​ 但在某些情况下,这种方法并不可行,因为这样一份合法资源名的列表过于庞大、难于跟踪。因此,程序员通常在这种情况下采用黑名单的办法。在输入之前,黑名单会有选择地拒绝或避免潜在的危险字符。但是,任何这样一份名单都不可能是完整的,而且随着时间的推移而果实。更好的方法是创建一份白名单,允许其中的字符出现在资源名称中,且只接受完全由这些被认可的字符组成的输入。

示例4 白名单例子:

public boolean validateFile(File file) throws IOException {
    //This represents the format d:\myapp\temp\<file name> where the file name
    //can consist of alpha-numeric, space/tab, period and dash characters and
    //cannot exceed 20 characters in length
    String goodPattern = "d:(\\\\|/)myapp(\\\\|/)temp(\\\\|/)(\\w|\\s|\\.|-){1,20}"";
    Pattern p = Pattern.compile(goodPattern, Pattern.CASE_INSENSITIVE);
    Matcher m = p.matcher(file.getCanonicalPath());
    if(!m.matches()) {
    	return false;
    }
    return true;
}

临时修复方案:

​ 使用 2.6 版本的 commons-io 工具包自带的工具:

修改前:

File file = new File(path);

修改后:

import org.apache.commons.io.FileUtils;

File file = FileUtils.getFile(path);

整理完毕,完结撒花~

不愿放下技术的小赵
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
dirrunner:路径遍历攻击的简单工具
04-06
dirrunner 路径遍历攻击的简单工具 基本用法 python3 dirrunner.py -u https://example/com/someurl 深度 可以使用-d标志指定要挖掘的子目录数量。 默认值= 12。 python3 dirrunner.py -u https://example/com/someurl -d 8 文件 要指定要尝试访问的文件,请使用-f标志。 默认情况下,脚本将尝试访问公用文件列表。 python3 dirrunner.py -u https://example/com/someurl -f /var/www/html/index.html
new File()扫描漏洞Path Traversal怎么处理
m0_37607945的博客
12-20 579
确保运行应用程序的用户账户只有执行任务所需的最小权限,这样即使存在路径穿越漏洞,攻击者也无法访问超出其权限范围的文件。记住,关键是始终假设用户输入可能是恶意的,并采取适当的防御措施。方法规范化输入的路径。这些方法会解析路径中的符号链接,并将相对路径转换为绝对路径,从而减少路径穿越的风险。实施白名单策略,只允许预定义的、安全的文件或目录名,而不是试图过滤所有可能的危险路径。对用户输入进行严格的验证和清理,去除任何可能导致路径穿越的字符或序列。检查用户输入的路径中是否包含可能导致路径穿越的特殊字符,如。
奇安信-源代码安全缺陷问题解决记录-路径遍历、API误用、配置文件明文
最新发布
xnxqwzy的博客
03-11 1007
除了明文处理,其他几种缺陷感觉非常多此一举,仅仅就是为了不被扫描到缺陷,所以上面很多改动的意义也仅仅是为了通过扫描。奇安信漏洞说明第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
详解shell 遍历文件夹内所有文件并打印绝对路径
01-20
例如你有一个文件夹路径是 /wls,如果想要遍历这个文件夹内的所有文件,并将它们保存到数组中,利用shell你可以这样做 for file in /wls/* do if test -f $file then arr=(${arr[*]} $file) fi done echo ${arr[@]} 这样就可以遍历wls文件夹下的所有文件并把它们的绝对路径存在arr这个数组中,但这还是不够的,因为文件夹中可能会有多个子文件夹,如果只过滤文件会遗漏掉子文件夹中的文件,所以需要扩展上面的方法,如果我们只考虑两级目录的话可以这样写 for file in
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
aco.rar_matlab路径遍历_最短路径_路径遍历_遍历最短路径
09-14
利用蚁群算法求解tsp(旅行商)问题,给出遍历方案,最后求出最短路径。
代码审计笔记-安全缺陷
scdncby的博客
11-11 5194
目录 原代码审计笔记-安全缺陷 URL重定向: 不安全的SSL(过于宽泛的证书信托): 反射型跨站脚本: 路径操纵: 拒绝服务(StringBuilder): 整数溢出: J2EE错误配置(过度会话超时): 代码正确性:字节数组到字符串转换: 原代码审计笔记-安全缺陷 URL重定向: 问题示例: protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException .
路径穿越(Path Traversal)详解
12-06 1万+
本文主要是对路径穿越漏洞进行学习总结,本身这个漏洞也并不常见,主要是多产生于php的程序。这种类型的攻击强制访问文件、目录、 以及位于 Web 文档根目录之外的命令 或 CGI 根目录。常用来其他读取、写入类漏洞结合。我个人给这种漏洞形成的原因可以分为两类 错误配置由于带有中间代理转发性质的功能配置错误程序本身代码存在问题这一点十分好理解,就是代码写的有问题,逻辑简单,没有验证。第一类:文件类参数请求参数似乎包含文件或目录名称的,例如include=main.inc或template=/en/sidebar
Java遍历文件夹并输出文件的绝对路径
weixin_43203591的博客
07-03 1253
背景 Java遍历指定的文件夹并输出文件的绝对路径。 实现 package itheima; import java.io.File; public class FileDemo2 { public static void main(String[] args) { File srcFile = new File("D:\\JAVA项目"); getAllFilePath(srcFile); } public static void getAll
应用安全系列之十一:路径遍历
jimmyleeee的专栏
03-05 2454
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 如果有不妥之处,希望可以留言指出。谢谢! ...
Java编程安全漏洞之:不信任用户可控数据
weixin_34362790的博客
03-21 3732
2019独角兽企业重金招聘Python工程师标准>>> ...
CNC系统路径遍历的时间最优控制算法
02-21
针对计算机数控(CNC)系统给定路径的遍历问题,给出了一种加减速控制算法,使CNC系统的路径遍历时间最小.由于CNC系统的优化变量(加速度)为线性的存在于时间最优指标和约束条件中,且沿坐标方向加速度有界.因此通常这类时间最小路径遍历问题具有Bang-bang的控制结构,即任意时刻至少有一个坐标方向存在最大加/减速度.针对一类参数化路径,推导了沿坐标方向加速度与曲线局部特性间的关系.保证系统在Bang-bang控制情况下,实现路径精确遍历.1/4和1/2圆弧最短时间遍历问题的仿真结果,验证算法的有效性.
PortSwigger Academy | Directory traversal : 目录遍历
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-14 401
文章目录总结目录遍历是什么?通过目录遍历读取任意文件Lab: File path traversal, simple case利用文件路径遍历漏洞的常见障碍Lab: File path traversal, traversal sequences blocked with absolute path bypassLab: File path traversal, traversal sequences stripped non-recursivelyLab: File path traversal, tra
操作系统 --- 文件操作和IO
wwzzzzzzzzzzzzz的博客
03-30 3297
1. 文件路径 绝对路径 绝对路径 (absolute path) : 以一个盘符开头的路径,就是绝对路径 例如这里的 D:\java\IntelliJ IDEA Community Edition 2021.2.2\bin\idea64.exe 就是绝对路径 相对路径 相对路径 (relative path) 一般是以.或者..开头的路径.一般会有一个基准,去找对应的路径. .就是当前目录 ..当前目录的上一目录 例如 以D:\java\IntelliJ IDEA Community Editi
java.io.File类基本使用——遍历某路径的所有文件夹及文件
菜鸟的成长之路...
03-11 9009
java.io.File类可以用来表示文件或目录,在需要遍历指定路径下的所有文件夹及文件时,可以使用此类。思路如下:1、判断给定路径是目录还是文件。 2、如果是文件,则直接打印该文件路径及文件名 3、如果是目录,则先打印该目录路径,并获取该目录下的所有目录及文件,再对每一个文件或目录执行第一步操作。如此循环,即可获取所有文件实现:创建一个FileUtils工具类,并创建getFiles方法:pa
Java防御目录穿越漏洞方法_防御路径穿越攻击的最佳方法是什么?
weixin_36467048的博客
03-01 2209
我有一个Java服务器实现(TFTP,如果你很重要),我想确保它不容易受到路径遍历攻击,允许访问文件和应该不可用的位置。防御路径穿越攻击的最佳方法是什么?在迄今为止卫冕我的最好的尝试是拒绝匹配File.isAbsolute()然后依靠File.getCanonicalPath()解决任何../和./组件出路径的任何条目。最后,我确保生成的路径仍在我的服务器所需的根目录中:public String...
request.getParameter()方法的简单理解与运用
热门推荐
qq_54000767的博客
11-23 2万+
request.getParameter()方法:
修复路径穿越、任意文件写入漏洞
InterestAndFun的博客
02-23 6267
前段时间随手写的一个文件上传服务,在公司的渗透测试下漏洞百出,其中少不了路径穿越和任意文件写入漏洞。其实这两个漏洞的修复并不复杂,只要对入参进行两个条件的校验就可以了。
system.getproperty会引起绝对路径遍历
06-28
### 回答1: system.getproperty不会直接引起绝对路径遍历。system.getproperty是一个Java函数,在Java代码中用来获取系统属性的方法。它可以获取与系统相关的属性,如文件路径、编码方式、操作系统类型等。 如果在使用system.getproperty时,程序员不小心传入了一些不受信任的用户输入,那么绝对路径遍历就有可能发生。比如,程序员使用system.getproperty获取文件路径时,如果不对用户输入进行过滤或验证,那么用户可能会通过构造特殊的输入,使得程序加载或读取了不应该被访问的文件。 因此,在使用system.getproperty时,需要注意对用户输入进行过滤或者使用安全的默认值。此外,程序员还需要注意使用安全的文件访问API,如JavaPath和File类,来避免绝对路径遍历和其他文件安全问题的发生。 ### 回答2: System.getProperty()是用于从系统中获取属性值的Java API方法之一。系统属性是由操作系统或Java虚拟机设置的键值对,可以用于指定程序的行为和环境。这个方法可以用来获取属性的值,例如Java运行时间,操作系统版本等。 关于是否会引起绝对路径遍历,实际上与它本身没有必然联系。System.getProperty()本身是一个安全的Java API方法,没有直接引起绝对路径遍历的风险。但使用该方法获取的属性值可能会出现反向路径遍历的问题,从而引起绝对路径遍历的风险。 在实际开发过程中,如果在获取属性值时没有进行充分的验证和过滤,可能会给黑客攻击机会,从而实现绝对路径遍历攻击,进而访问系统中的敏感文件。 因此,为了保证系统的安全,我们应该在使用 System.getProperty() 时注意对获取的属性值进行过滤和验证,确保获取正确的属性值,并避免出现任何反向路径遍历的安全问题。同时,我们也可以采用相对路径而不是绝对路径的方式来获取文件路径,以避免绝对路径遍历的风险。 ### 回答3: system.getproperty是Java中的一个方法,它可以获取系统属性值。该方法不会直接引起绝对路径遍历,因为它只是获取系统属性值的字符串,并不会涉及到文件操作。 绝对路径遍历是一种安全漏洞,攻击者利用该漏洞可以读取/修改/删除未授权的文件。绝对路径遍历通常通过接收输入的参数来实现,攻击者通过在输入中插入包含“../”或“..\”等字符串的路径,以跳过应用程序的限制,从而访问系统上的敏感文件。 在使用system.getproperty获取系统属性时,如果不谨慎地将获取到的字符串作为路径来使用,那么就可能引起绝对路径遍历漏洞。例如,如果system.getproperty获取到的是系统的用户目录路径(例如"/home/user"),如果不进行任何处理,就可能导致攻击者访问用户的私人文件。 为避免绝对路径遍历漏洞,从system.getproperty获取到的系统属性值应该经过严格的验证和过滤,确保路径安全,例如使用Java中的File.getCanonicalPath()方法。此外,还应该将从用户输入获取的参数与安全白名单进行比较,并使用安全编码实践来防止其他类型的攻击,如SQL注入或跨站脚本攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不愿放下技术的小赵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值