3
以下簡單的java代碼獲取Fortify Path Manipulation錯誤。請幫我解決這個問題。我很久沒有掙扎了。如何解決某些Java代碼中的「路徑操作漏洞」?
public class Test {
public static void main(String[] args) {
File file=new File(args[0]);
}
}
A
回答
4
看着爲Path Manipulation OWASP的頁面,它說
攻擊者可以指定在操作中使用文件系統中的路徑
您正在打開一個文件所界定用戶給定的輸入。你的代碼幾乎就是這個漏洞的完美例子!無論是
- 不要使用上面的代碼(不要讓用戶指定輸入文件作爲參數)
- 讓用戶從您提供的(文件與文件排列的列表中選擇一個整數選項)
- 不要讓用戶提供文件名,刪除可配置性
- 接受該漏洞,但通過檢查文件名來防止該漏洞(儘管這是最糟糕的事情 - 有人可能會暈倒它無論如何)。
或重新考慮你的應用程序的設計。
1
只允許輸入alnum和句點。這意味着你會過濾掉控制字符,「..」,「/」,「\」,這會使你的文件變得脆弱。例如,不應該輸入/path/password.txt。
完成後,重新掃描,然後運行Fortify AWB。
0
假設您針對Web應用程序運行Fortify,在對Fortify漏洞進行分類時可能會標記爲「不是問題」。推理是A)顯然這是測試代碼和B)除非你有多重人格障礙,否則當你運行該測試應用程序時,你不會對自己進行路徑操縱漏洞利用。
如果看到很少有測試實用程序被提交到一個產生這種誤報風格的存儲庫中很常見。
至於你的編譯錯誤,通常歸結爲類路徑問題。
-1
使用正則表達式來驗證該文件的路徑和文件名
fileName = args[0];
final String regularExpression = "([\\w\\:\\\\w ./-]+\\w+(\\.)?\\w+)";
Pattern pattern = Pattern.compile(regularExpression);
boolean isMatched = pattern.matcher(fileName).matches();
2
嘗試使用它
Path path = Paths.get("/foo/../bar/../baz").normalize();
或標準化從org.apache之前使用規範化的URL。 commons.io。FilenameUtils
Stirng path = FilenameUtils.normalize("/foo/../bar/../baz");
對於這兩種結果將是
0
Fortify的將標記即使路徑/文件並非來自像一個屬性文件中用戶輸入的代碼。處理這些問題的最佳方法是首先對路徑進行規範化,然後然後根據允許路徑的白名單對其進行驗證。
壞:
public class Test {
public static void main(String[] args) {
File file=new File(args[0]);
}
}
好:
public class Test {
public static void main(String[] args) {
File file=new File(args[0]);
if (!isInSecureDir(file)) {
throw new IllegalArgumentException();
}
String canonicalPath = file.getCanonicalPath();
if (!canonicalPath.equals("/img/java/file1.txt") &&
!canonicalPath.equals("/img/java/file2.txt")) {
// Invalid file; handle error
}
FileInputStream fis = new FileInputStream(f);
}
0
我有一個解決Fortify的路徑操作的問題。
它抱怨的是,如果你從外部源獲取數據,那麼攻擊者可以使用該源來操縱你的路徑。因此,使攻擊者可以刪除文件或以其他方式危害系統。
對此問題的建議補救措施是使用受信任目錄的白名單作爲有效輸入;並拒絕其他一切。
該解決方案在生產環境中並不總是可行的。所以,我建議一個替代解決方案。解析可接受字符的白名單的輸入。從輸入中拒絕任何你不想在路徑中的角色。它可以被刪除或替換。
下面是一個例子。這確實通過了Fortify審查。在這裏記住返回字面值而不是被檢查的字符是很重要的。 Fortify會跟蹤來自原始輸入的部分。如果您使用任何原始輸入,您仍然可能會遇到錯誤。
public class CleanPath {
public static String cleanString(String aString) {
if (aString == null) return null;
String cleanString = "";
for (int i = 0; i < aString.length(); ++i) {
cleanString += cleanChar(aString.charAt(i));
}
return cleanString;
}
private static char cleanChar(char aChar) {
// 0 - 9
for (int i = 48; i < 58; ++i) {
if (aChar == i) return (char) i;
}
// 'A' - 'Z'
for (int i = 65; i < 91; ++i) {
if (aChar == i) return (char) i;
}
// 'a' - 'z'
for (int i = 97; i < 123; ++i) {
if (aChar == i) return (char) i;
}
// other valid characters
switch (aChar) {
case '/':
return '/';
case '.':
return '.';
case '-':
return '-';
case '_':
return '_';
case ' ':
return ' ';
}
return '%';
}
}
+0
這不是一個解決方案,只是簡單地掩蓋了漏洞並且無法解決問題。我將這稱爲不誠實的方法,並建議將漏洞實例標記爲誤報。至少你有機會解釋爲什麼這個漏洞不是一個問題。 – ProbablyJody
相關問題
- 1. Node.js漏洞路徑信息,如何解決?
- 2. 如何解決JavaScript上的XSS漏洞?
- 3. 如何解決javascript的漏洞問題
- 4. 如何解決這個安全漏洞?
- 5. iPhone SDK:如何解決這個漏洞?
- 6. 如何解決tomcat鏡像漏洞?
- 7. 發生XSS漏洞,該如何解決?
- 8. 如何解決robots.txt漏洞告訴黑客重要和祕密路徑?
- 9. TOCTTOU代碼漏洞
- 10. 路徑操作解決方案?
- 11. 解決安全漏洞在「編寫安全代碼」'
- 12. Java代碼覆蓋漏洞說明?
- 13. 如何解決地方性XSS漏洞在Java Web應用
- 14. 如何解決強化給出的路徑操作錯誤?
- 15. 迭代Java中Path中的某些子路徑
- 16. 惠普Fortify File.Create引發路徑操縱漏洞
- 17. 解決XSS漏洞問題C#
- 18. 如何解決下面代碼中的泄漏?的ObjectiveC
- 19. 目前的路徑是否適合某些git操作?
- 20. java在下面的代碼中的字符串泄漏memery?如何解決它
- 21. 如何解決與ESAPI的HTTP響應拆分漏洞
- 22. glibc fnmatch漏洞:如何揭露漏洞?
- 23. Java - 某些代碼出錯
- 24. 無效的操作數 - 如何解決這個短代碼?
- 25. clion禁用某些文件中的代碼洞察
- 26. 瞭解Wordpress漏洞
- 27. 如何在某些HTTP路徑
- 28. 我不知道如何解決漏洞問題
- 29. 如何解決這個安全漏洞在web api
- 30. 解決jQuery源代碼泄漏
你什麼時候得到錯誤?運行它或編譯它?你是如何編譯的?你在進口什麼? – Joe
你傳遞什麼參數值? – MaVRoSCy
我沒有收到java編譯錯誤,我運行Fortify Sourceanalyzer,然後顯示路徑操作漏洞。 – mohan