Fortofy扫描安全漏洞解决——Path Manipulation (Input Validation and Representation, Data Flow) 文件路径安全漏洞

最新推荐文章于 2024-01-18 09:14:21 发布
最新推荐文章于 2024-01-18 09:14:21 发布
阅读量1.9k 收藏 14
点赞数 12
分类专栏: Fortify代码审计漏洞解决 文章标签: 安全 Fortofy 代码审计 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52536274/article/details/135132671
版权

问题描述:

当满足以下两个条件时,就会产生 path manipulation 错误:

1. 攻击者可以指定某一文件系统操作中所使用的路径。

2. 攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。

例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。
Fortofy的官方问题描述说明比较难理解,简言之,文件路径不安全,那么如何解决呢?

问题代码:

//根据文件路径生成的文件对象会由于不规范路径而出现问题
File downLoadFile = new File(zipFileOutPath);

解决方案:
使用FilenameUtils类的normalize方法
1.添加Common IO 工具库依赖

<dependency>
    <groupId>commons-io</groupId>
    <artifactId>commons-io</artifactId>
    <version>2.6</version>
</dependency>

 2.引入FilenameUtils并调用normalize方法即可消除漏洞!

用于规范化文件路径。这个方法的主要作用是将输入的文件路径进行规范化,消除路径中的冗余部分,使其成为一个标准的、规范化的路径。

规范化文件路径的过程包括以下几个方面:

  1. 移除多余的斜杠:将连续出现的多个斜杠替换为一个斜杠,消除冗余的路径分隔符。
  2. 处理相对路径:将相对路径转换为绝对路径。
  3. 处理...:解析路径中的...,并将其替换为实际的目录。
File downLoadFile = new File(FilenameUtils.normalize(zipFileOutPath));


 

龙城桥少
关注
  • 12
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Fortify 扫描报告中的 ‘Path Manipulation’ 问题
07-13 762
throw new Exception("参数非法。然后再扫描,顺利通过。
Java防御路径操作(Path Manipulation) 的正确姿势
oscar999的专栏
01-11 6626
本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。
Fortify代码扫描漏洞-Path Manipulation路径操纵)
qq_41748175的博客
01-10 3407
1.扫描结果 2.演示 方式1:/users/wenfx/temple/test/FX 路径下有abc.txt 方式2: /users/wenfx/temple路径下也有abc.txt 原本传入方式1,当路径篡改变成2时,删除的文件就变了(读取一样) 3.解决方案 1.简单:过滤路径中../类似的特定字符。 2.复杂:路径篡改最有效的解决办法就是避免用......
开发安全之:Path Manipulation
最新发布
irizhao的专栏
01-18 1218
但在某些情况下,这种方法并不可行,因为这样一份合法资源名的列表过于庞大,维护难度过大。但是,任何这样一个列表都不可能是完整的,而且将随着时间的推移而过时。更好的方法是创建一个字符列表,允许其中的字符出现在资源名称中,且只接受完全由这些被认可的字符组成的输入。例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。如果程序以足够的权限运行,且恶意用户能够篡改配置文件,那么他们可以通过程序读取系统中以扩展名 .txt 结尾的任何文件。进入程序的值,这一数值用于通过。
path manipulation怎么解决_干货!终于!解决macOS下pyenv安装python3.8.2缺少tkinter模块的问题!...
weixin_39575170的博客
11-28 697
前言:笔者不过是一个刚立下flag要学习Python的小白,(这也是笔者的第一篇网文、知乎文,如果没用,求轻虐),为此还冲动傻傻地配了一台2019款13寸的MacBook Pro。电脑配置(作为参考)如下:MacBook Pro (13-inch, 2019, Four Thunderbolt 3 ports)系统:macOS Catalina 10.15.4处理器:2.4 GHz 四核Intel...
Fortify漏洞之Path Manipulation路径篡改)
arkqyo2595的博客
05-09 4622
  继续对Fortify的漏洞进行总结,本篇主要针对Path Manipulation路径篡改)的漏洞进行总结,如下: 1、Path Manipulation路径篡改) 1.1、产生原因: 当满足以下两个条件时,就会产生 path manipulation 错误: 1. 攻击者可以指定某一文件系统操作中所使用的路径。 2. ...
Fortify漏洞之 Path Manipulation 路径篡改问题解决笔记
热门推荐
dazhong2012的专栏
03-15 4万+
文件上传中,代码扫描会产生 路径篡改(Path Manipulation)的缺陷,今天总结一下该问题的产生原因及解决方法。 一.问题描述 在使用 Fortify 扫描项目时,产生如下缺陷,该问题是说 使用如下代码: request.getParameter(“bizId”) 直接作为上传文件名称组成字段时会产生 路径篡改 FileRelation relation = fileRelation...
Fortify(Path Manipulation)解决
alky的博客
01-04 4028
@[TOC](Fortify(Path Manipulation)解决) commons-io-2.5.jar org.apache.commons.io.FilenameUtils.normalize()处理路径 通过引入上述jar包,对传入的路径参数进行处理即可,完成Fortify提示问题。 ...
Path Manipulation Fortify
cherry的博客
04-24 1万+
Fortify扫描遇到了Path Manipulation问题,定位代码如下: File publisFile = null; File publisFileDir = new File(OSSFileUtils.getDeploy()+"/"+corpPK);涉及到安全性问题,在文件目录下,没有限制文件目录,可能存在的问题是:可以退回上一级目录,继而访问上一级内容, 解决办法:step1
解决fortify扫描出的Path Manipulation问题(java语言)
wypdao的专栏
03-04 3万+
编写java打码如下: 。。。 File proFile = new File(path); 。。。   使用fortify扫描,会报一个Path Manipulation的漏洞,怎么解决呢?看下面代码: HashMap map = new HashMap();   map.put("a", "a");   map.put("b", "b");   map.put("c", "c
Path Manipulation Utilities-开源
07-09
C++ 中的路径操作实用程序。 使用类似 Python 的操作操作路径名字符串。
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
data-manipulation:一些Javascript和Python脚本来操纵(大)CSV文件和JSON数据
05-28
标题提到的 "data-manipulation" 存储库提供了一系列的脚本,旨在帮助用户高效地处理大型CSV(逗号分隔值)文件和JSON(JavaScript Object Notation)数据。这些脚本对于数据挖掘和分析任务尤其有用。 CSV 文件是一...
Data Manipulation with R [eBook]_r_data_
09-28
Data Manipulation with R》是一本专注于使用R语言进行数据操作的电子书,它深入探讨了如何有效地在R环境中处理和分析数据。R语言作为一款强大的统计计算和图形生成工具,已经成为数据科学家和统计学家的首选语言...
demonstrate File I/O, user input, and output manipulation
02-19
demonstrate File I/O, user input, and output manipulation Design Consider the following questions: - What input will you prompt from the user? - What potentially bad input could the user enter? - What...
path manipulation怎么解决_PyCharm报错与解决方法一览
weixin_39733805的博客
11-27 1144
报错:IndentationError:expected an indented block分析:缩进错误!解决:你只要在出现错误的那一行,按空格或Tab(但不能混用)键缩进就行。往往有的人会疑问:我根本就没缩进怎么还是错,不对,该缩进的地方就要缩进,不缩进反而会出错报错:AttributeError: 'NoneType' object has no attribute 'shape'分析:多发...
你不知道的SpringBoot与Vue部署解决方案
Wanguyunxiaodaniu的博客
07-28 379
前言 前段时间公司外网部署的演示环境全部转到内网环境中去,所有对外演示的环境都需要申请外网映射才能访问某个服务。我用一个外网地址 www.a.com 映射到一个内网地址 http://ip:port,然后在这个地址 http://ip:port 用 nginx 做代理转发到各个组的项目 http://ipn:portn 上去,其中也遇到一些静态资源 404,主要是是解决这个 404 问题。 最近又做了一个项目,考虑到用户的体验,减少部署的复杂性,我想了一个办法用 SpringBoot 做 web 服务器映射
path manipulation怎么解决_TensorFlow Object Detection API遇到的问题及解决
weixin_39531178的博客
11-23 330
TensorFlow Object Detection API遇到的问题及解决教程网址:Training Custom Object Detector​tensorflow-object-detection-api-tutorial.readthedocs.io我按照教程加载的是自己的一个数据集,进行目标检测下载完成后如下:Xml文件生成:可以自己写一个简单的脚本实现txt到xml的转换按照教程进...
Path Manipulation 漏洞java修复
06-09
Path Manipulation 漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞来修改程序中的路径,访问未授权的资源,或者执行恶意代码。为了修复这个漏洞,我们可以采取以下措施: 1. 不要直接使用用户提供的输入来构建文件路径。应该对用户输入进行验证和过滤,确保路径只包含可信任的字符。例如,可以使用Java的正则表达式来检查输入是否符合预期格式。 2. 使用Java的File类来构建文件路径,而不是手动拼接字符串。这样可以确保路径分隔符的正确性,避免因为不同操作系统使用不同的分隔符而导致的问题。 3. 使用安全文件访问API,例如java.nio.file.Files类和java.nio.file.Path类,来读取和写入文件。这些API提供了更多的安全性和灵活性,可以防止一些常见的攻击,例如路径遍历攻击和符号链接攻击。 4. 在应用程序中启用沙箱环境,限制程序的访问权限,防止恶意代码的执行。例如,可以使用Java的SecurityManager类来限制程序的访问权限。此外,还可以使用Java的沙箱工具,例如Applet和Java Web Start,来运行不受信任的代码。 总之,为了修复Path Manipulation 漏洞,我们需要在程序中使用安全文件访问API,对用户输入进行验证和过滤,使用安全路径构建方法,以及启用沙箱环境来限制程序的访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙城桥少

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值