Java关键字fymd,JAVA程式碼一直被foritfy檢出有path manipulation

最新推荐文章于 2024-02-21 11:30:00 发布
最新推荐文章于 2024-02-21 11:30:00 发布
阅读量335 收藏
点赞数
文章标签: Java关键字fymd

我開發的JAVA程式碼在給Fortify檢測後,一直被查出有path manipulation…

上網查大都是教人用文字白名單過濾,但我有兩個path manipulation問題,

一是isr= new InputStreamReader 這行被檢出,這看似無法套用文字過濾…

二是 line = cleanString (br.readLine()); 這行,我本來想用文字過濾,但想到readline進來的網路資料的文字不會只有英文,還有中文,

我無法全都列進白名單,只能在確認它其中有success的文字後跳過。

以下的方法都無法騙過Fortify,不知版上有沒有人能給小弟幫助,謝謝。

public static void main(String[] args) {

String checkurl = "https://opendata.tw/";

URL connectto = new URL(checkurl);

HttpsURLConnection conn = (HttpsURLConnection) connectto.openConnection();

try {

conn.connect();}catch (IOException e){}

InputStreamReader isr = null;

if (conn.toString().contains("https://opendata.tw/")) {

if (cleanConn (conn.getInputStream()) != null){

isr= new InputStreamReader ( cleanConn(conn.getInputStream()),"UTF-8" );}

BufferedReader br = new BufferedReader(isr);

StringBuilder sb = new StringBuilder();

String line;

line = cleanString (br.readLine());

}

public static String cleanString(String path) {

HashMap map = new HashMap();

map.put("a", "a");

map.put("b", "b");

map.put("c", "c");

map.put("d", "d");

map.put("e", "e");

map.put("f", "f");

map.put("g", "g");

map.put("h", "h");

map.put("i", "i");

map.put("j", "j");

map.put("k", "k");

map.put("l", "l");

map.put("m", "m");

map.put("n", "n");

map.put("o", "o");

map.put("p", "p");

map.put("q", "q");

map.put("r", "r");

map.put("s", "s");

map.put("t", "t");

map.put("u", "u");

map.put("v", "v");

map.put("w", "w");

map.put("x", "x");

map.put("y", "y");

map.put("z", "z");

map.put("A", "A");

map.put("B", "B");

map.put("C", "C");

map.put("D", "D");

map.put("E", "E");

map.put("F", "F");

map.put("G", "G");

map.put("H", "H");

map.put("I", "I");

map.put("J", "J");

map.put("K", "K");

map.put("L", "L");

map.put("M", "M");

map.put("N", "N");

map.put("O", "O");

map.put("P", "P");

map.put("Q", "Q");

map.put("R", "R");

map.put("S", "S");

map.put("T", "T");

map.put("U", "U");

map.put("V", "V");

map.put("W", "W");

map.put("X", "X");

map.put("Y", "Y");

map.put("Z", "Z");

map.put(".", ".");

map.put(":", ":");

map.put("/", "/");

map.put("\\", "\\");

Character curChar = null;

Character nextChar = null;

if (path.contains("http")) {

map.put("?", "?");

map.put("-", "-");

map.put("=", "=");

map.put("0", "0");

map.put("1", "1");

map.put("2", "2");

map.put("3", "3");

map.put("4", "4");

map.put("5", "5");

map.put("6", "6");

map.put("7", "7");

map.put("8", "8");

map.put("9", "9");

//map.put(",", ",");

//map.put("\"", "\"");

//map.put("[", "[");

//map.put("]", "]");

//map.put("{", "{");

//map.put("}", "}");

}

if (path.contains("success")) {

return path;

}else {

String temp = "";

for (int i = 0; i < path.length(); i++) {

try{

curChar=path.charAt(i);

nextChar= path.charAt(i+1);

}catch (Exception e) {}

//過濾,避免有../的跳脫字元

if (map.get(path.charAt(i)+"")!=null) {

if (map.get(path.charAt(i)+"")!=null && curChar == '.' && nextChar !='.') {

temp += map.get(path.charAt(i)+"");

}else if (map.get(path.charAt(i)+"")!=null && curChar != '.') {

temp += map.get(path.charAt(i)+"");

}

}

}

return temp;

}

}

private static InputStream cleanConn(InputStream inputStream) {

// TODO Auto-generated method stub

if (inputStream.toString().contains("sun.net.www.protocol.http.HttpURLConnection")) {

return inputStream;

}

return null;

}

weixin_39996101
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 安全漏洞_安全漏洞之Java
weixin_30359591的博客
02-12 1097
https://blog.csdn.net/ru_li/article/details/799159481.跨站脚本攻击(1)Cross-Site Scripting(XSS):Reflected:jsp取值漏洞,使用c:out转义var params_rf = "";var params_rf = "";Cross-Site Scripting: Persistent、Cross-Site Sc...
Fortify代码扫描漏洞-Path Manipulation(路径操纵)
qq_41748175的博客
01-10 3344
1.扫描结果 2.演示 方式1:/users/wenfx/temple/test/FX 路径下有abc.txt 方式2: /users/wenfx/temple路径下也有abc.txt 原本传入方式1,当路径篡改变成2时,删除的文件就变了(读取一样) 3.解决方案 1.简单:过滤路径中../类似的特定字符。 2.复杂:路径篡改最有效的解决办法就是避免用......
Java防御路径操作(Path Manipulation) 的正确姿势
wangluoanquan111的博客
02-21 1348
路径操作(Path Manipulation)的漏洞,简言之就是在路径中包含有一些特殊字符(… 或者 / 等),导致可以访问到期望目录之外的文件。比如路径地址是,对应到访问到的文件就是而这个文件是系统的文件,保存用户密码。本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。
Fortify漏洞之 Path Manipulation 路径篡改问题解决笔记
热门推荐
dazhong2012的专栏
03-15 4万+
在文件上传中,代码扫描会产生 路径篡改(Path Manipulation)的缺陷,今天总结一下该问题的产生原因及解决方法。 一.问题描述 在使用 Fortify 扫描项目时,产生如下缺陷,该问题是说 使用如下代码: request.getParameter(“bizId”) 直接作为上传文件名称组成字段时会产生 路径篡改 FileRelation relation = fileRelation...
Fortify(Path Manipulation)解决
alky的博客
01-04 3996
@[TOC](Fortify(Path Manipulation)解决) commons-io-2.5.jar org.apache.commons.io.FilenameUtils.normalize()处理路径 通过引入上述jar包,对传入的路径参数进行处理即可,完成Fortify提示问题。 ...
Fortify-解决中文乱码
汪敏的博客
10-24 353
在文件后面加上“ -Dfile.encoding=utf-8 >NUL”
最新JAVA编程题全集_50题及答案
09-05
程序分析:判断素数的方法:用一个数分别去除2到sqrt(这个数),如果能被整除, 则表明此数不是素数,反之是素数。 public class lianxi02 { public static void main(String[] args) { int count = 0; for(int i=...
EC1101开局指导
02-09
关于外围的IP规划,按照提供的信息,我们可以理解为一个连续的IP地址范围,从172.16.25.60开始,一直到172.16.25.XXX(这里的XXX表示该范围内的任意数值)。这可能是一个IP地址池,用于分配给其他相关设备,如解码器...
StringManipulation:Java中的字符串处理算法
04-28
字符串操作 Java中的字符串处理算法
Fortify Path Manipulation
安全新司机
05-19 2626
文章目录描述场景任意文件下载代码分析修复方案建议任意文件上传代码实现修复建议代码地址 描述 在对文件进行操作(读,写,删除)的过程中,未对文件路径进行有效的合法性校验,导致文件被任意下载,上传任意文件导致服务器被种植木马,getshell 场景 任意文件下载 任意文件上传 任意文件下载 任意文件下载漏洞,一些网站由于业务需求,往往需要提供文件查看或文件下载功能,正常的利用手段是下载服务器文件,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件 代码分析 @RestControll
path manipulation怎么解决_「转载」移动端事件穿透的原理与解决方案
weixin_39631467的博客
12-06 424
作者:雨霖月寒原文:https://www.cnblogs.com/jofun/archive/2020/07/24/13371431.html简介移动设备的流行,带动了移动互联网的快速发展,很多开发者开始进入移动开发领域。目前市面上主流的移动设备一般都使用触摸屏,触摸屏所使用的触摸事件模型与传统网页的鼠标事件模型有所区别,这种差异往往使初涉移动端的开发工程师陷入困境,事件穿透问题便是其中一个,本...
path manipulation怎么解决_超详细的toad报错解决--no valid oracle clients found.
weixin_39981360的博客
12-06 1002
概述前几天分享了怎么安装toad for dba工具,但是Toad安装后,在启动Toad时报“No valid Oracle Client found”错,下面分享下解决的过程。报错no valid oracle clients found. You need at least one 64-bit client properly configured这里报错很明显没有客户端。解决:下载地址:ht...
path manipulation怎么解决_TensorFlow Object Detection API遇到的问题及解决
weixin_39531178的博客
11-23 326
TensorFlow Object Detection API遇到的问题及解决教程网址:Training Custom Object Detector​tensorflow-object-detection-api-tutorial.readthedocs.io我按照教程加载的是自己的一个数据集,进行目标检测下载完成后如下:Xml文件生成:可以自己写一个简单的脚本实现txt到xml的转换按照教程进...
path manipulation怎么解决_PyCharm报错与解决方法一览
weixin_39733805的博客
11-27 1139
报错:IndentationError:expected an indented block分析:缩进错误!解决:你只要在出现错误的那一行,按空格或Tab(但不能混用)键缩进就行。往往有的人会疑问:我根本就没缩进怎么还是错,不对,该缩进的地方就要缩进,不缩进反而会出错报错:AttributeError: 'NoneType' object has no attribute 'shape'分析:多发...
工作述职报告PPT模板 (25)
最新发布
07-12
【作品名称】:工作述职报告PPT模板 (25) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值