问题描述:
当满足以下两个条件时,就会产生 path manipulation 错误:
1. 攻击者可以指定某一文件系统操作中所使用的路径。
2. 攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。
例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。
Fortofy的官方问题描述说明比较难理解,简言之,文件路径不安全,那么如何解决呢?
问题代码:
//根据文件路径生成的文件对象会由于不规范路径而出现问题
File downLoadFile = new File(zipFileOutPath);
解决方案:
使用FilenameUtils类的normalize方法
1.添加Common IO 工具库依赖
<dependency>
<groupId>commons-io</groupId>
<artifactId>commons-io</artifactId>
<version>2.6</version>
</dependency>
2.引入FilenameUtils并调用normalize方法即可消除漏洞!
用于规范化文件路径。这个方法的主要作用是将输入的文件路径进行规范化,消除路径中的冗余部分,使其成为一个标准的、规范化的路径。
规范化文件路径的过程包括以下几个方面:
- 移除多余的斜杠:将连续出现的多个斜杠替换为一个斜杠,消除冗余的路径分隔符。
- 处理相对路径:将相对路径转换为绝对路径。
- 处理
.
和..
:解析路径中的.
和..
,并将其替换为实际的目录。
File downLoadFile = new File(FilenameUtils.normalize(zipFileOutPath));