1
我有一個接受一個HTTP URL從URL PDF文件蟒蛇Web應用程序。作爲應用程序的一部分,它需要使用ghost腳本將PDF轉換爲TIFF圖像。爲此,PDF需要保存在本地。因此,要做到這一點我用urllib這樣的:如何避免路徑遍歷安全漏洞
testfile = urllib.URLopener()
pdf_destination = os.path.join(self.options.storefolder, self.options.uniquecode+".pdf")
testfile.retrieve(pdfurl, pdf_destination) //Fortify vuln. found here
該工程確定,但是,Fortify的SCA提供了「路徑操作」的一個嚴重漏洞。有沒有辦法解決這個問題?我應該確保pdfurl包含有效的pdf文件名嗎?還是有更好的方法來解決這個問題?
什麼是pdfurl源?但我有理由相信你有一個假陽性,這標誌着作爲Fortify的假陽性,如果pdfurl不從用戶來的。 – Vetsin
Pdfurl確實來自用戶 – Anthony