超级会员免费看
本文探讨了Java中防御路径操作(Path Manipulation)的正确方法,包括路径漏洞扫描、错误解法分析以及安全解决方案。通过使用Path类进行路径规范化和白名单策略确保文件访问安全,同时指出在Coverity等静态扫描工具中避免误报的处理方式。
路径操作(Path Manipulation)的漏洞,简言之就是在路径中包含有一些特殊字符(… 或者 / 等),导致可以访问到期望目录之外的文件。
比如路径地址是/usr/local/myapp/../../../etc/passwd,对应到访问到的文件就是/etc/passwd, 而这个文件是系统的文件,保存用户密码。
使用Coverity 扫描的信息如下:
Filesystem path, filename, or URI manipulation
An attacker may access, modify, or corrupt files that contain sensitive information or are critical to the application.
关于路径操作漏洞,可以参考:
软件弱点预防之 —— Filesystem path, filename, or URI manipulation - 操控文件系统路径、文件名或 URI
本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。
防御方法分析
在代码层面来看&#x
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
