[英]Fortify file path manipulation solution recommendation
我正在創建一個新文件作為類路徑資源。 使用以下代碼,Fortify 上存在嚴重的高級路徑操作問題。
public class A {
@Value("classpath:test")
private Resource resource;
public void createFile(MultipartFile sourceFile) {
String fName = FilenameUtils.normalize(sourceFile.getOriginalFilename());
//path manipulation
File newFile = Paths.get(resource.getFile().getPath(),fName).normalize().toFile();
...
}
}
我也嘗試過使用 FilenameUtils 規范化路徑,但在 Fortify 上仍然遇到相同的問題。 這些路徑操作錯誤有意義嗎? 還有其他可行的解決方案嗎?
順便說一句,聲納掃描沒有漏洞。
感謝您的任何建議!
問候
public static String normalize(String fileName)
規范化路徑,刪除雙點和單點路徑步驟。
此方法將路徑標准化為標准格式。 輸入可能包含 Unix 或 Windows 格式的分隔符。 輸出將包含系統格式的分隔符。
它是一個誤報。 最有可能的是,掃描是在不知道 apache commons-io
庫的情況下使用 fortify 完成的。 你應該向掃描這個東西的人尋求建議,看看他是否對這個問題有進一步的評論(你可以把代碼扔進去討論)。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.