CWE-73: External Control of File Name or Path

最新推荐文章于 2024-07-09 16:46:46 发布
最新推荐文章于 2024-07-09 16:46:46 发布
阅读量661 收藏 5
点赞数 8
文章标签: java 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44320027/article/details/134679428
版权

解决Veracode的CWE-73:“外部控制文件名或路径”

我在我的应用程序中有一个函数,用于将生成的pdf文件流输出到磁盘文件,但我从Veracode的扫描中得到了一个缺陷[CWE-73],这会导致安全漏洞,攻击者可以访问文件系统上的任何文件,并读取文件甚至覆盖预期文件以外的文件。

try(FileOutputStream fos = new FileOutputStream(fileName)) {
    // write stream to fos
}catch (Exception e) {
    e.printStackTrace();
}

为解决此问题,参考verocode官网,使用了白名单(输入范围有限)以确保只提交众所周知的值。
https://www.veracode.com/security/java/cwe-73

但是问题仍然出现,公司Veracode网站有推荐使用ESAPI进行validate,但是我拒绝为此引入一个第三方组件。

然后使用下面java函数对文件名进行清洗(仅针对文件名,不包括文件后缀和路径),这在veracode中不再扫出安全漏洞。

public static String sanitizeFileName(String name) {

    return name
            .chars().mapToObj(i -> (char) i)
            .map(c -> Character.isWhitespace(c) ? '_' : c)
            .filter(c -> Character.isLetterOrDigit(c) || c == '-' || c == '_' || c == ':')
            .map(String::valueOf)
            .collect(Collectors.joining());

}
lukis-tsai
关注
  • 8
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CWE ID 117:Improper Output Neutralization for Logs
Aron2278的博客
08-11 1025
问题描述 日志伪造漏洞,攻击者通过伪造或其他方式将恶意数据追加到日志内容中,可能会导致日志文件中的信息发生偏差,受到破坏的日志文件可用于掩护攻击者的跟踪轨迹,甚至还可以牵连第三方来执行恶意行为。最糟糕的情况是,攻击者可能向日志文件注入代码或者其他命令,利用日志处理应用程序中的漏洞。 Bad Code logger.info("response data : {} ", responseBean.getData()); 解决方案 logger.info("response data : {} ", Enco
渗透学习的基础和关于 渗透学习的总结OWASP TOP 10的演化
qq_52934910的博客
12-23 708
1、必备基础:HTML 与 JavaScript(xss必学)。 2、至少选择一种操作系统:Windows为主要学习方向,例如:DOS命令; 3、至少选择一种搭建平台服务:Apache为主要学习方向,例如:Apache配置、搭建; 4、至少选择一门编程语言:PHP为主要学习方向,例如:熟悉PHP语法; 5、至少选择一种数据库:Mysql为主要学习方向,例如:熟悉Mysql语句; 学会使用od pd ce 等工具 A01:2021-Broken Access Control从第五位上...
代码安全_弱点(脆弱性)分析 CWE、漏洞、防御机制
sun0322
03-30 2054
CWE Common Weakness Enumeration ■List ・CWE-117: Improper Output Neutralization for Logs   The software does not neutralize or incorrectly neutralizes output that is written to logs. http://...
CWE/SANS TOP 25 Most Dangerous Programming Errors
xymyeah
01-14 3186
Experts Announce Agreement on the 25 Most Dangerous Programming Errors - And How to Fix ThemAgreement Will Change How Organizations Buy Software.Project Manager: Bob Martin, MITREQuestions: top2
2021年OWASP-TOP10
qq_45751902的博客
06-23 989
2021年OWASP-TOP10
如何消除VeraCode检测中的CRLF Injection Issue(CWE ID 117)
打杂人
05-04 3414
Veracode是一个检测应用程序是否存在安全漏洞的工具,更多细节请访问http://www.veracode.com 这里主要总结一下如何消除Veracode检测结果中的CRLF(Carriage Return, Line Feed) Injection Issue(CWE ID 117)。 首先,先看看VeraCode对CRLF Injection Issue的定义: The a
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...
check-cve-2019-19781:测试主机对CVE-2019-19781的敏感性
03-08
check-cve-2019-19781 :magnifying_glass_tilted_right: :lady_beetle: 该实用程序确定主机是否似乎容易受到。 要求 Python 3.6及更高版本。 请注意,不支持Python 2。 安装 从发行版: ... 来自来源: ...
yarn-audit-html:生成用于纱线审核HTML报告
05-10
默认情况下,将生成唯一漏洞列表(按MODULE_NAME , VERSION和CWE分组)。 如果要一一显示全部内容,请添加--no-unique选项: yarn audit --json | yarn-audit-html --no-unique 您还可以通过提供--template选项...
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
cwe-sdk-[removed]符合MITER CAPEC的通用弱点枚举(CWE)Node.js SDK
05-08
cwe-sdk 符合MITER / CAPEC的通用弱点枚举(CWE)Node.js SDK 安装 yarn add cwe-sdk 用法 需要CweManager类并使用其方法 const { CweManager } = require ( 'cwe-sdk' ) 例子 const { CweManager } = require ( '...
java代码审计手书(四)
一个码农的笔记
11-29 7826
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 外部文件访问(Android) 漏洞特征:ANDROID_EXTERNAL_FILE_ACCESS 应用经常往外部存储上写数据(可能是SD卡),这个操作可能会有多个安全问题。首先应用可以可以通过READ_EXTERNAL_STORAGE 获取SD卡上存储的文件。而且如果数据中包含用户的敏感信息的话...
CWE通用缺陷对照表记录
weixin_45513192的博客
10-14 4837
CWE通用缺陷对照表记录 CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access of Indexable Resource (‘Range Error’) CWE-119 : Buffer
java Object 转 Integer
servepeople的博客
07-09 380
Java 中,可以通过多种方法将一个Object转换为Integer。
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 1351
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
AI技术的转变:从辨别式到生成式
学IT,找陈寒
07-09 978
李彦宏在2024世界人工智能大会上的发言,提醒我们在AI技术发展的道路上,不要盲目追求技术本身或表面的用户数据,而应更多地关注技术的实际应用和产业价值。在大模型技术与个性化应用之间找到平衡,将是未来发展的关键。作为AI从业者和技术爱好者,我们应以务实的态度,探索AI技术在各个领域的实际应用,为产业发展和社会进步贡献力量。通过李彦宏的发言,我深刻认识到AI技术发展的方向和挑战,也更加坚定了自己在这一领域继续探索和创新的信心。未来,愿我们共同努力,推动AI技术更好地服务于社会和产业,为人类创造更美好的未来。
java中 使用数组实现需求小案例(二)
最新发布
qq_44304677的博客
07-09 301
java小案例,数组需求实现,使用Random函数实现用户输入随机数生成一个打乱的数组
ShardingSphere
Casual_Lei的博客
07-04 726
ShardingSphere 通过提供数据分片、分布式事务、数据加密和读写分离等功能,帮助开发者轻松构建高性能、高可用的分布式数据库系统。其灵活的架构设计和丰富的功能模块,使其成为现代分布式数据库中间件的优秀选择。
图片压缩代码和实际操作页面
英雄汉孑的博客
07-05 1005
轻盈视界,高清依旧 —— 智能图片压缩,大容量,小体积,精彩不打折
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
这段文字列出了三种安全漏洞分类: 1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型不一致而导致的安全漏洞。 3. CAPEC-63: Cross-Site Scripting (XSS),即跨站脚本攻击,指的是攻击者通过在网页中注入恶意脚本来窃取用户信息或执行其他恶意操作的攻击方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值