CWE-73: External Control of File Name or Path

最新推荐文章于 2025-04-30 11:28:26 发布

lukis-tsai

最新推荐文章于 2025-04-30 11:28:26 发布

阅读量1k

点赞数 8

文章标签： java 经验分享

本文链接：https://blog.csdn.net/weixin_44320027/article/details/134679428

版权

解决Veracode的CWE-73：“外部控制文件名或路径”

我在我的应用程序中有一个函数，用于将生成的pdf文件流输出到磁盘文件，但我从Veracode的扫描中得到了一个缺陷[CWE-73]，这会导致安全漏洞，攻击者可以访问文件系统上的任何文件，并读取文件甚至覆盖预期文件以外的文件。

try(FileOutputStream fos = new FileOutputStream(fileName)) {
   
    // write stream to fos
}catch (Exception e)

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

lukis-tsai

关注关注

8
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

OWASP Top 10（2021）漏洞学习（最新）

m0_56578216的博客

08-21

613

从第五位上升到第一位，94%的应用程序都接受了某种形式的针对“失效的访问控制”的测试，该事件的平均发生率为 3.81%，该漏洞在提供的数据集中出现漏洞的应用数量最多，总发生漏洞应用数量超过31.8万多次。如用户在访问账户信息的SQL时调用了未经验证的数据，攻击者只要修改它的参数就能访问任何用户；如果用户发生了，这也是一种权限控制失效漏洞。

软件弱点预防之 —— Filesystem path, filename, or URI manipulation - 操控文件系统路径、文件名或 URI

oscar999的专栏

10-13

2432

Filesystem path, filename, or URI manipulation ，操控文件系统路径、文件名或 URI。该缺陷指的是当使用外部的输入来构造一个文件路径时，如果路径中包含有一些特殊字符（.. 或者 / 等），导致可以访问到期望目录之外的文件。

参与评论您还未登录，请先登录后发表或查看评论

文件（File）

天宇龙腾的博客

12-19

698

由于Java是面向对象的语言，所以每个文件或文件夹对应的则是File类的对象，File类只涉及文件创建、删除、重命名等操作，不能实现对文件内部读写，实现需要采用IO流完成，将File类对象传入IO流构造器中。路径分隔符与系统有关，Windows默认使用 “ \ ” ,UNIX和URL使用 “ / ”表示，由于Java程序支持跨平台运行，所以提供动态分隔符。从内存层面映射到物理层面，JVM关闭之后内存中的数据会消失，所以要将数据转化为相应的文件进行持久化存储；反之从物理映射到内存则是文件读取过程。......

代码安全_弱点（脆弱性）分析 CWE、漏洞、防御机制

sun0322

03-30

2391

■CWE Common Weakness Enumeration ■List ・CWE-117: Improper Output Neutralization for Logs 　　The software does not neutralize or incorrectly neutralizes output that is written to logs. http://...

渗透学习的基础和关于渗透学习的总结OWASP TOP 10的演化

qq_52934910的博客

12-23

826

1、必备基础：HTML 与 JavaScript（xss必学）。 2、至少选择一种操作系统：Windows为主要学习方向，例如：DOS命令； 3、至少选择一种搭建平台服务：Apache为主要学习方向，例如：Apache配置、搭建； 4、至少选择一门编程语言：PHP为主要学习方向，例如：熟悉PHP语法； 5、至少选择一种数据库：Mysql为主要学习方向，例如：熟悉Mysql语句；学会使用od pd ce 等工具 A01:2021-Broken Access Control从第五位上...

CWE/SANS TOP 25 Most Dangerous Programming Errors

xymyeah

01-14

3299

Experts Announce Agreement on the 25 Most Dangerous Programming Errors - And How to Fix ThemAgreement Will Change How Organizations Buy Software.Project Manager: Bob Martin, MITREQuestions: top2

java代码审计手书(四）

一个码农的笔记

11-29

8207

翻译自：http://find-sec-bugs.github.io/bugs.htm 翻译：聂心明外部文件访问(Android) 漏洞特征：ANDROID_EXTERNAL_FILE_ACCESS 应用经常往外部存储上写数据（可能是SD卡），这个操作可能会有多个安全问题。首先应用可以可以通过READ_EXTERNAL_STORAGE 获取SD卡上存储的文件。而且如果数据中包含用户的敏感信息的话...

Find-Sec-Bugs 漏洞范例

热门推荐

zhaohonghan的博客

04-03

1万+

Find-Sec-Bugs 漏洞范例欢迎使用Markdown编辑器你好！这是你第一次使用 Markdown编辑器所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。新的改变我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客： ...

2021年OWASP-TOP10

qq_45751902的博客

06-23

1115

2021年OWASP-TOP10

CWE/SANS Top 25 Most Dangerous Programming Error

以简始，以简终 Always Keep Child-Like Wonder

01-14

822

我只是专贴一下，出处可以参考http://cwe.mitre.org/top25/#Brief 希望大家在工作过程中都能够注意这些细节，质量体现于这些细节，打造高质量的软件产品，这些可是基石哦，呵呵 The 2009 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most significant progr...

Java路径问题最终解决方案之一

小宇飞刀的BLOG

04-25

422

前言　　Java的路径问题，非常难搞。最近的工作涉及到创建和读取文件的工作，这里我就给大家彻底得解决Java路径问题。　　我编写了一个方法，比ClassLoader.getResource(String 相对路径)方法的能力更强。它可以接受“../”这样的参数，允许我们用相对路径来定位classpath外面的资源。这样，我们就可以使用相对于 classpath的路径，定位所有位置的资源！　　Ja

如何消除VeraCode检测中的CRLF Injection Issue(CWE ID 117)

打杂人

05-04

3575

Veracode是一个检测应用程序是否存在安全漏洞的工具，更多细节请访问http://www.veracode.com 这里主要总结一下如何消除Veracode检测结果中的CRLF（Carriage Return, Line Feed） Injection Issue(CWE ID 117)。首先，先看看VeraCode对CRLF Injection Issue的定义： The a

TOP 25 Most Dangerous Programming Errors

xhinker's blog

01-22

2778

Experts Announce Agreement on the 25 Most Dangerous Programming Errors - And How to Fix ThemAgreement Will Change How Organizations Buy Software.Project Manager: Bob Martin, MITREQuestions: top2

CWE通用缺陷对照表记录

weixin_45513192的博客

10-14

5202

CWE通用缺陷对照表记录 CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access of Indexable Resource (‘Range Error’) CWE-119 : Buffer

基于ssm的校园外卖配送系统（源码+文档）

最新发布

luoluoal的博客

04-30

1020

校园外卖配送系统的主要使用者分为：1、用户的功能及权限用户登录注册后，进入系统对个人中心，订单信息管理，订单取消管理，配送接单管理，取消配送管理，送达通知管理等功能进行操作管理。2、配送员的功能及权限用户登录注册后，进入系统对个人中心，订单信息管理，配送接单管理，取消配送管理，送达通知管理等功能进行操作管理。3、管理员的功能及权限用户信息的添加和管理，校园外卖配送详细信息添加和管理和文档信息添加和管理以及网站信息管理，这些都是管理员的功能💕💕作者：落落。

用Java模拟打字：深入解析 java.awt.Robot 的键盘控制艺术

码觉客的博客

04-28

2090

通过，我们可以实现强大的键盘自动化功能。对于简单的字符（英文字母、数字、基础标点等），可以通过模拟单个按键的按下和释放（可能需要配合 Shift 等修饰键）来实现，这需要建立字符到键码的映射并注意按键时序和延迟。对于复杂字符、中文或长文本，由于Robot不理解输入法逻辑，最可靠和常用的方法是将文本复制到系统剪贴板，然后模拟按下系统的粘贴快捷键。无论使用哪种方法，理解Robot的工作原理（模拟物理按键），处理好窗口焦点，并加入适当的延迟，是确保模拟输入成功的关键。虽然Robot。

Linux 服务管理两种方式service和systemctl

lza20001103的博客

04-29

1415

Linux 服务管理两种方式service和systemctl

Number.isInteger()判断一个数值是否为整数报错

ABCAA1024的博客

04-30

531

NumberUtil.isInteger(String str) 实际上是判断这个字符串是否可以被安全地解析为 Java 的 Integer 类型（即 32 位有符号整数）。NumberUtil.isInteger(“13787870101”) 返回 false，是因为它超出 Integer 的最大范围，而不是因为它不是纯数字。

Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么

06-09

1. CWE-16: Configuration，即配置问题，指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict，即解释冲突，指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...