Fortify 文件路徑操作解決方案推薦
[英]Fortify file path manipulation solution recommendation
問題描述
我正在創建一個新文件作為類路徑資源。 使用以下代碼,Fortify 上存在嚴重的高級路徑操作問題。
public class A {
@Value("classpath:test")
private Resource resource;
public void createFile(MultipartFile sourceFile) {
String fName = FilenameUtils.normalize(sourceFile.getOriginalFilename());
//path manipulation
File newFile = Paths.get(resource.getFile().getPath(),fName).normalize().toFile();
...
}
}
我也嘗試過使用 FilenameUtils 規范化路徑,但在 Fortify 上仍然遇到相同的問題。 這些路徑操作錯誤有意義嗎? 還有其他可行的解決方案嗎?
順便說一句,聲納掃描沒有漏洞。
感謝您的任何建議!
問候
1 個解決方案
解決方案1
1 2022-05-16 07:44:10
public static String normalize(String fileName)規范化路徑,刪除雙點和單點路徑步驟。
此方法將路徑標准化為標准格式。 輸入可能包含 Unix 或 Windows 格式的分隔符。 輸出將包含系統格式的分隔符。
它是一個誤報。 最有可能的是,掃描是在不知道 apache commons-io庫的情況下使用 fortify 完成的。 你應該向掃描這個東西的人尋求建議,看看他是否對這個問題有進一步的評論(你可以把代碼扔進去討論)。
如何修復Fortify路徑操縱(輸入驗證和表示,數據流)漏洞
[英]How to fix Fortify Path Manipulation ( Input Validation and Representation , Data Flow ) vulnerability
嘗試更改當前 Java 函數以符合 Fortify 掃描建議
[英]Attempting to change a current Java function to comply with a Fortify scan recommendation
Fortify High:VAPT Java 中的訪問說明符操作問題
[英]Fortify High: Access Specifier Manipulation issue in VAPT Java
Fortify high:對用於調用私有構造函數的反射進行訪問說明符操作
[英]Fortify high: Access specifier manipulation on reflection that is used to invoke a private constructor
HTTP 響應中 HP Fortify 的標頭操作問題 [java]
[英]Header Manipulation issue with HP Fortify in HTTP response [java]
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.