Java防御路径操作（Path Manipulation) 的正确姿势

oscar999

已于 2023-02-09 22:26:52 修改

阅读量7.1k

点赞数

CC 4.0 BY-SA版权

分类专栏： Java 基础、进阶与实战和笔试面试 Web开发安全文章标签： java 安全路径操作

于 2023-01-11 22:30:06 首次发布

本文链接：https://blog.youkuaiyun.com/oscar999/article/details/128652020

Web开发安全同时被 2 个专栏收录

87 篇文章 ¥29.90 ¥99.00

订阅专栏

超级会员免费看

Java 基础、进阶与实战和笔试面试

68 篇文章

订阅专栏

本文探讨了Java中防御路径操作（Path Manipulation）的正确方法，包括路径漏洞扫描、错误解法分析以及安全解决方案。通过使用Path类进行路径规范化和白名单策略确保文件访问安全，同时指出在Coverity等静态扫描工具中避免误报的处理方式。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

路径操作（Path Manipulation）的漏洞，简言之就是在路径中包含有一些特殊字符（… 或者 / 等），导致可以访问到期望目录之外的文件。

比如路径地址是/usr/local/myapp/../../../etc/passwd，对应到访问到的文件就是/etc/passwd，而这个文件是系统的文件，保存用户密码。

使用Coverity 扫描的信息如下：

Filesystem path, filename, or URI manipulation
An attacker may access, modify, or corrupt files that contain sensitive information or are critical to the application.

关于路径操作漏洞，可以参考：
软件弱点预防之 —— Filesystem path, filename, or URI manipulation - 操控文件系统路径、文件名或 URI

本篇介绍在 Java应用中如何防御路径操作（Path Manipulation）的攻击。

防御方法分析

在代码层面来看&#x

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

oscar999

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

Fortify 扫描报告中的 ‘Path Manipulation’ 问题

07-13

1297

throw new Exception("参数非法。然后再扫描，顺利通过。

Fortify漏洞之 Path Manipulation 路径篡改问题解决笔记

热门推荐

dazhong2012的专栏

03-15

4万+

在文件上传中，代码扫描会产生路径篡改（Path Manipulation）的缺陷，今天总结一下该问题的产生原因及解决方法。一.问题描述在使用 Fortify 扫描项目时，产生如下缺陷，该问题是说使用如下代码： request.getParameter(“bizId”) 直接作为上传文件名称组成字段时会产生路径篡改 FileRelation relation = fileRelation...

参与评论您还未登录，请先登录后发表或查看评论

解决fortify扫描出的Path Manipulation问题(java语言)

wypdao的专栏

03-04

3万+

编写java打码如下：。。。 File proFile = new File(path); 。。。使用fortify扫描，会报一个Path Manipulation的漏洞，怎么解决呢？看下面代码： HashMap map = new HashMap(); map.put("a", "a"); map.put("b", "b"); map.put("c", "c

Fortify漏洞之Path Manipulation（路径篡改）

arkqyo2595的博客

05-09

5020

　　继续对Fortify的漏洞进行总结，本篇主要针对Path Manipulation（路径篡改）的漏洞进行总结，如下： 1、Path Manipulation（路径篡改） 1.1、产生原因：当满足以下两个条件时，就会产生 path manipulation 错误： 1. 攻击者可以指定某一文件系统操作中所使用的路径。 2. ...

java path manipulation怎么解决

weixin_40186889的博客

07-13

575

解决Java路径操作的问题在Java开发中，经常会涉及到路径的操作，比如文件的读取、写入、拷贝等。有时候我们会遇到一些路径相关的问题，比如路径拼接、规范化等。本文将介绍一些解决Java路径操作问题的方法，并提供示例代码。问题描述在Java中，处理路径时常会遇到一些问题，比如路径分隔符不一致、相对路径解析等。这些问题可...

fortify中Path Manipulation issues in Java 问题解决

bkhech的专栏

09-18

4032

public class CleanPath { public static String cleanString(String aString) { if (aString == null) return null; String cleanString = ""; for (int i = 0; i < aString.leng

Java关键字fymd,JAVA程式碼一直被foritfy檢出有path manipulation

weixin_39996101的博客

03-21

409

我開發的JAVA程式碼在給Fortify檢測後，一直被查出有path manipulation…上網查大都是教人用文字白名單過濾，但我有兩個path manipulation問題，一是isr= new InputStreamReader 這行被檢出，這看似無法套用文字過濾…二是 line = cleanString (br.readLine()); 這行，我本來想用文字過濾，但想到readline...

StringManipulation:Java中的字符串处理算法

04-28

`StringManipulation`这个项目显然专注于研究和实现Java中的字符串处理算法。下面将详细介绍Java中常见的字符串处理技术及其背后的原理。一、字符串的创建与初始化在Java中，字符串是对象，可以通过以下方式创建...

Path Manipulation Utilities-开源

07-09

标题 "Path Manipulation Utilities" 提供的信息表明，这是一个专门用于处理和操作路径的 C++ 库，它借鉴了 Python 中的路径操作方式。在 C++ 中，管理文件路径通常涉及复杂的字符串操作，这个库旨在简化这一过程，...

Fortify代码扫描漏洞-Path Manipulation（路径操纵）

qq_41748175的博客

01-10

3900

1.扫描结果 2.演示方式1：/users/wenfx/temple/test/FX 路径下有abc.txt 方式2： /users/wenfx/temple路径下也有abc.txt 原本传入方式1，当路径篡改变成2时，删除的文件就变了（读取一样） 3.解决方案 1.简单：过滤路径中../类似的特定字符。 2.复杂：路径篡改最有效的解决办法就是避免用......

Java路径操纵风险解决 Fix Path Manipulation Vulnerability in java

最新发布

weixin_44012027的博客

08-22

387

【代码】Java路径操纵风险解决 Fix Path Manipulation Vulnerability in java。

java如何防止目录遍历_java – 什么是防御路径遍历攻击的最好的方法？

weixin_36284062的博客

02-27

3196

我有一个Java服务器实现(TFTP，如果你很重要)，我想确保它不容易受到路径遍历攻击允许访问文件和位置不应该可用。我最好的尝试是防止到目前为止拒绝任何匹配File.isAbsolute()的条目，然后依靠File.getCanonicalPath()来解析任何../和./组件的路径。最后，我确保生成的路径仍在我的服务器的所需根目录中：public String sanitize(final Fi...

java如何防止目录遍历,java – 不使用递归遍历目录？

weixin_35934037的博客

03-15

699

问题我需要编写一个简单的软件,给出一定的约束条件,将一系列文件附加到列表中.用户可以在两个“类型”的目录之间进行选择：一个带有*通配符,意味着它还应该探索子目录,而经典一个没有通配符,只能获取该目录中存在的文件.我在做什么现在我正在做最愚蠢的事情：import java.io.File;public class Eseguibile {private static void displayIt(F...

Path Manipulation 路径操作

Dearzh的博客

11-15

234

Abstract: 攻击者可以控制 AttachmentController.java 中第 205 行的 File() 文件系统路径参数，借此访问或修改其他受保护的文件。 Explanation: 当满足以下两个条件时，就会产生 path manipulation 错误： 1. 攻击者可以指定某一文件系统操作中所使用的路径。 2. 攻击者可以通过指定特定资源来获取某种权限，而这种权限在一般情...

Java路径问题最终解决方案

哇哈哈

10-20

772

Java路径问题最终解决方案 —可定位所有资源的相对路径寻址前言Java的路径问题，非常难搞。最近的工作涉及到创建和读取文件的工作，这里我就给大家彻底得解决Java路径问题。我编写了一个方法，比ClassLoader.getResource(String 相对路径)方法的能力更强。它可以接受“../”这样的参数，允许我们用相对路径来定位classpath外面的资源。这样，我们就可以使用相对于classpath的路径，定位所有位置的资源！Java路

Path Manipulation Routines

dxy_3230的专栏

07-12

1222

From RAD StudioThis topic lists all path manipulation routines.Member Description SysUtils.AnsiCompareFileName Compares file names based on

开发安全之：Path Manipulation

irizhao的专栏

01-18

1804

但在某些情况下，这种方法并不可行，因为这样一份合法资源名的列表过于庞大，维护难度过大。但是，任何这样一个列表都不可能是完整的，而且将随着时间的推移而过时。更好的方法是创建一个字符列表，允许其中的字符出现在资源名称中，且只接受完全由这些被认可的字符组成的输入。例如，在某一程序中，攻击者可以获得特定的权限，以重写指定的文件或是在其控制的配置环境下运行程序。如果程序以足够的权限运行，且恶意用户能够篡改配置文件，那么他们可以通过程序读取系统中以扩展名 .txt 结尾的任何文件。进入程序的值，这一数值用于通过。

Path Manipulation 漏洞java修复

06-09

Path Manipulation 漏洞是一种常见的安全漏洞，攻击者可以利用该漏洞来修改程序中的路径，访问未授权的资源，或者执行恶意代码。为了修复这个漏洞，我们可以采取以下措施： 1. 不要直接使用用户提供的输入来构建文件路径。应该对用户输入进行验证和过滤，确保路径只包含可信任的字符。例如，可以使用Java的正则表达式来检查输入是否符合预期格式。 2. 使用Java的File类来构建文件路径，而不是手动拼接字符串。这样可以确保路径分隔符的正确性，避免因为不同操作系统使用不同的分隔符而导致的问题。 3. 使用安全的文件访问API，例如java.nio.file.Files类和java.nio.file.Path类，来读取和写入文件。这些API提供了更多的安全性和灵活性，可以防止一些常见的攻击，例如路径遍历攻击和符号链接攻击。 4. 在应用程序中启用沙箱环境，限制程序的访问权限，防止恶意代码的执行。例如，可以使用Java的SecurityManager类来限制程序的访问权限。此外，还可以使用Java的沙箱工具，例如Applet和Java Web Start，来运行不受信任的代码。总之，为了修复Path Manipulation 漏洞，我们需要在程序中使用安全的文件访问API，对用户输入进行验证和过滤，使用安全的路径构建方法，以及启用沙箱环境来限制程序的访问权限。