Java路径遍历漏洞修复心得

最新推荐文章于 2025-03-02 22:24:09 发布
最新推荐文章于 2025-03-02 22:24:09 发布
阅读量2w 收藏 117
点赞数 18
文章标签: java 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41085151/article/details/113525348
版权

一、路径遍历

路径遍历是指应用程序接收了未经合理校验的用户参数用于进行与文件读取查看相关操作,而该参数包含了特殊的字符(例如“..”和“/”),使用了这类特殊字符可以摆脱受保护的限制,越权访问一些受保护的文件、目录或者覆盖敏感数据。本文以JAVA 语言源代码为例,分析路径遍历缺陷及该缺陷产生的原因及修复方法。

二、缺陷代码

172行因为localFile因为接收参数后未对参数做合理校验,可能会收到../file.text,假定文件路径有效,则可能导致读取了 uploads 父目录下的 file.text 文件。

三、代码修复

我使用了2种方法可以来解决路径遍历问题,一是全局过滤,二是单个字符串过滤

全局过滤代码如下:

private String fileNameValidate(String str) {
		
		String fileNameListStr ="../|./|/..";  //这里为请求体中不能携带的关键字

		if(null!=fileNameListStr && !"".equals(fileNameListStr))
		{
			str = str.toLowerCase();// 统一转为小写

			log.info("sqlFilter===========================>>路径遍历过滤规则:
最低0.47元/天 解锁文章
小猪呀
关注
搜索引擎优化(SEO)在知识发现中的应用
AI天才研究院
11-18 949
搜索引擎优化(SEO)在知识发现中的应用 关键词 SEO(搜索引擎优化) 知识发现 关键词研究 网站结构优化 内容优化 链接建设 技术SEO 数据分析
Java路径问题最终解决方案之一.
10-09
Java路径问题最终解决方案之一Java路径问题最终解决方案之一
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 7754
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
漏洞分析 Spring Framework路径遍历漏洞(CVE-2024-38816)
最新发布
web15185420056的博客
03-02 1065
VMware Spring Framework是美国威睿(VMware)公司的一套开源的JavaJavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期,监测到Spring Framework在特定条件下,存在目录遍历漏洞(网宿评分:高危、CVSS 3.1 评分:7.5):当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件。
关于Spring Framework路径遍历漏洞(CVE-2024-38816)的预警提示和修复方案
洛阳泰山的博客
10-15 6671
是一个Java应用程序框架,旨在提供高效且可扩展的开发环境。近日,监测到中修复了一个路径遍历漏洞(受影响版本中,使用WebMvc.fn或WebFlux.fn(在或框架中)提供静态资源的应用程序容易受到路径遍历攻击,当Web 应用程序使用提供静态资源并且应用程序使用或类似的配置来从文件系统提供静态文件时,威胁者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权访问的任意文件,从而导致数据泄露。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
apache目录遍历漏洞利用_【渗透测试】目录遍历漏洞
weixin_39757743的博客
01-26 1708
许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名形如:http://www.nuanyue.com/getfile=image.jgp当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者。初看,在只是文件交互的一种简单的过程,但是由于文件名...
java路径遍历漏洞修复/nacos未授权访问漏洞修复-零开始渗透入门教程
2401_84915584的博客
06-25 465
IT之家 5 月 31 日消息,Git 分布式版本控制系统已经发布新版本,紧急修复了 5 个安全漏洞,其中最“关键”的漏洞追踪编号为 CVE-2
Zip Slip目录遍历漏洞已影响多个Java项目
cpongo5
06-06 201
\看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!\\\近日,专注于开源及云安全监控防范工作的 Snyk 公司披露了一种可能会造成任意文件被覆写的安全漏洞,称为 Zip Slip。其相应的攻击手段是创建一种特制的ZIP压缩文件,在其中引用会对目录进行遍历的文件名。受该风险影响的项目多达数千个,包括 AWS Toolkit for Eclipse、Spri...
java修复路径遍历漏洞_应用安全 - 中间件 - 解析漏洞 - 路径遍历 - 漏洞 - 汇总...
weixin_31459297的博客
02-27 907
../../../WEB-INF/web.xml../../../../../../etc/passwdC:/inetpub/wwwroot/global.asaC:\inetpub\wwwroot\global.asaC:/boot.iniC:\boot.iniD:\inetpub\wwwroot\global.asaD:/inetpub/wwwroot/global.asa(1)xx.php?...
java 目录遍历漏洞_路径遍历 漏洞修复
weixin_39653717的博客
02-26 3587
package net.radar.util;import java.util.regex.Pattern;public class PreventTraversalUtil {private static Pattern FilePattern = Pattern.compile("[\\\\/:*?\"<>|]");/*** 路径遍历 漏洞修复* @param str* @retu...
2020 秋招 笔试 面试 java究极基础题计算机究极基础题必回 应知应会 30min过一遍
weixin_43699184的博客
02-27 905
基础篇 基本功 面向对象特征 封装,继承,多态和抽象 封装 封装给对象提供了隐藏内部特性和行为的能力。对象提供一些能被其他对象访问的方法来改 变它内部的数据。在 Java 当中,有 3 种修饰符: public, private 和 protected。每一种修饰符 给其他的位于同一个包或者不同包下面对象赋予了不同的访问权限。 下面列出了使用封装的一些好处: 通过隐藏对象的属性来保护对象内部的状态...
javaWeb安全验证漏洞修复总结
12-29
javaWeb安全验证漏洞修复总结j,涉及到1.会话未更新。2.SQL注入,盲注。3已解密请求。4.跨站点请求伪造。5不充分账户封锁 等近10来个的问题解决心得
Java代码审查:3个实用工具,立竿见影提升代码质量
![Java代码审查:3个实用工具,立竿见影提升代码质量](https://img-blog.csdnimg.cn/20201107135131868.png?x-oss-process=image/watermark,type_ZmFuZ3...Java代码审查是软件开发生命周期中不可或缺的一环。通过代码审
Java Properties类实战攻略:提升性能的5种方法与5个安全技巧
Java的`Properties`类是处理配置文件的常用工具类。它继承自`Hashtable`类,并专门用于处理属性文件。在Java中,属性文件通常是以`.properties`结尾的文本文件,用于保存程序的配置信息。 ## 2.1 Properties类的...
修复路径遍历或任意文件下载漏洞
laok186的博客
08-01 6244
通过过滤入参特殊符合进行路径遍历拦截
网站路径遍历漏洞修复
qq_33163046的博客
07-04 2822
在当今的网络安全环境中,路径遍历漏洞(Path Traversal Vulnerability)成为日益关注的问题。此漏洞允许攻击者通过操控输入路径,访问未经授权的服务器文件,从而泄露敏感信息或执行恶意文件。本文将借助一次渗透测试修复的过程有效防止和修复此类漏洞,提升应用程序的整体安全性。
java缺陷修复
while(life)++;
03-13 4225
输入验证:日志伪造 问题 允许日志记录未经验证的用户输入,会导致日志伪造攻击。 解决
静态代码扫描问题修复之--(输入验证 路径遍历java
csdn466412618的博客
05-13 4607
优化Java应用安全,防范路径遍历漏洞于输入验证环节,确保代码坚若磐石。本文揭示了因未严格校验用户输入而导致的路径遍历风险,攻击者可能借此突破防线,非法访问或操纵关键文件。通过分析典型问题代码与深入探讨,我们提出了三大修复策略:实施严格的输入验证与过滤、采用安全上下文进行文件操作、以及强化服务器配置。核心修复实例引入了OWASP ESAPI库,展示了如何安全地处理并验证路径,以构建防篡改的安全路径处理机制。立即行动,升级你的应用安全防护,让SEO友好性与用户数据安全并驾齐驱。
java代码审计之目录遍历的解决
chinaherolts2008的博客
08-01 525
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户指定的文件名,看似正常,但实际用户输入的参数不可控,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序的数据库,redie等核心配置文件,因此具有一定的风险性。目录穿越漏洞,也叫做目录遍历/路径遍历漏洞,本文主要介绍了java代码审计之目录遍历的解决,文中通过案例介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值