路徑遍歷漏洞

[英]Path traversal vulnerability

路徑遍歷的概念對我來說是新的，需要一些指導。 在我的項目中，我有以下代碼行： 這段代碼是否PathTraversal漏洞。 任何人都可以幫助我理解路徑遍歷的概念以及如何刪除/避免它。 謝謝！ 編輯 1： 還提到我將文件臨時存儲在tempfiles文件夾中。 完成保存文件的目的后，我將從tempfil ...

asp.net 內核中的路徑遍歷漏洞

[英]A Path Traversal vulnerability in asp.net core

我已經嘗試過這些解決方案 我的代碼是否會阻止 C# 中的目錄遍歷？ 我的以下代碼中是否可能存在路徑遍歷漏洞？ 如何防止 .NET 中的路徑遍歷 如何在我的代碼中避免目錄遍歷但是，Checkmarx 掃描仍然存在安全問題，下面是代碼 問題出在這行代碼image = System.IO.File.R ...

ASP.NET - 下載文件時的路徑遍歷漏洞

[英]ASP.NET - Path Traversel exploit when downloading a File

我怎么能在那個代碼中解決這個問題。 我嘗試了一些方法，但我無法通過 checkmarx 測試（用於執行掃描的系統） FinalUploadFolder 來自 WebConfig 文件，是保存文件的地方 ...

Input_Path_Not_Canonicalized - checkmarx 中的 PathTravesal 漏洞

[英]Input_Path_Not_Canonicalized - PathTravesal Vulnerability in checkmarx

通過 checkmarx 分析代碼時，我面臨路徑遍歷漏洞。 我正在使用以下代碼獲取路徑： 並且“路徑”變量值正在遍歷許多函數，最后在一個 function 中使用，代碼片段如下： Checkmarx 將其標記為中等嚴重性漏洞。 請幫忙。 如何解決它以使其與 checkmarx 兼容？ ...

如何處理路徑遍歷？

[英]How to deal with Path Traversal?

我試圖了解如何（以安全的方式）處理路徑遍歷。 例如，應用程序通過 JSON 中的 REST API 從客戶端接收文件名，在不可訪問（外部）目錄中查找它並檢索響應： 上述方法的問題是客戶端可以在文件名請求中發送類似“../”的內容，它會毫無問題地“吃掉”它。 如何處理這種情況，請問我應該如何修復這個 ...

如何對托管在 IIS 中的此服務執行路徑遍歷攻擊？

[英]How can I perform a path traversal attack on this service hosted in IIS?

背景我正在嘗試對托管在 IIS 中的易受攻擊的服務執行路徑遍歷攻擊。 服務是這樣的： 底層代碼是這樣的： 如前所述，這項服務顯然是易受攻擊的。 紅隼攻擊我可以在使用dotnet run在本地運行時執行路徑遍歷攻擊，我收集到的是使用 Kestrel web 服務器。 我的攻擊載荷是..\..\sec ...

給定矩形的坐標，將它們連接起來形成從頭到尾的路徑

[英]Given the cordinates of rectangles, connect them to make path from start to end

有很多矩形； 每個都有左下角和右上角坐標。 它們要么重疊（完全或部分），要么至少與另一個邊緣接觸。 我正在尋找如何通過按順序跟蹤每個矩形來提出從開始到結束塊的跟蹤。 讓我們說它在開始塊和結束塊處都有一個標識符（坐標），它可以說跟蹤已經開始和結束。 在下圖中，我需要進行跟蹤，以便依次獲得編號為 1、2 ...

Azure 存儲是否允許路徑遍歷？

[英]Does Azure storage allow path traversal?

在安全方面，如果我從用戶那里收到部分路徑，我是否需要對其進行消毒？ 過度簡化的示例（在 Python 中）： input()包含../從而導致路徑遍歷攻擊嗎？ ...

Djikstra 算法有問題

[英]Having issues with Djikstra's algorithm

嘗試通過本文中的說明實現 Dijkstra： https://medium.com/@adriennetjohnson/a-walkthrough-of-dijkstras-algorithm-in-javascript-e94b74192026 我的回復如下： https://repl.it/ ...

使用 python 請求的路徑遍歷

[英]Path traversal with python request

最近，我想通過 python 請求模塊自動攻擊 web 應用程序，該應用程序容易受到路徑遍歷攻擊 (NVMS1000)。 通過使用選項 path-as-is，該請求與 curl 完美配合： 但是，當使用 python 請求模塊時，從 urlpath 中剝離的“../”（我可以通過 Burp Suit ...

Java webapp 代碼在機器人中測試時返回路徑遍歷問題

[英]Java webapp code returning with a path traversal problem when tested in a bot

所以我被賦予了在基本的 Java web 應用程序中修復路徑遍歷問題的任務，但我很困惑。 我們的目的是從本質上確保代碼是安全的，同時保持功能（這是我正在努力的部分） 到目前為止，我已經在網上查看了如何解決我收到的問題，並且我設法解決了這些問題，但是測試代碼的機器人返回一條消息，指出該應用程序不再具有 ...

防止 Java 中的路徑遍歷

[英]Preventing Path Traversal in Java

我正在 Java 中編寫一個程序，並意識到它容易受到路徑遍歷的影響。 如何更改下面的代碼以防止這種情況發生？ https://find-sec-bugs.github.io/bugs.htm 我已經查看了上面的鏈接，但我還沒有成功地將代碼更改為更好。 ...

Processmaker 3. *路徑遍歷問題

[英]Processmaker 3.* Path Traversal Issue

我已經在RHEL-7服務器上運行了Processmaker 3.1.3。 但是最近我發現該服務器容易受到路徑遍歷攻擊。 整個應用程序通過文件App.php運行到$App_Dir/workflow/public_html目錄中，以處理url重定向和其他操作。 當前，我正在使用這段代碼來防止位 ...

如何遍歷路徑包含在BASH中的路徑

[英]How to traverse directories a path consists of in BASH

我即將編寫一個在目錄樹結構中運行的文件解析器。 一旦找到特定的葉子目錄，我想通過路徑所包含的所有目錄並在其中進行一些操作。 假設路徑為： /d1/d2/d3 。 現在我想檢查文件x是否分別存在於/d1 ， /d1/d2和/d1/d2/d3並/d1/d2/d3順序。 當然，人們可以 ...

如何修復 SCS0018？

[英]How do I fix SCS0018?

Visual Studio 中的安全掃描 SCS0018 警告在構建期間顯示。 目前，我正在處理這些警告以將其刪除。 我嘗試了幾個 MSDN 站點，但沒有成功。 我也讀過 OWSAP，但它們與 C# 沒有明顯的關系。 請找到路徑遍歷警告的圖像。 代碼： ...

如何修復aspx？Dir = http：//externalwebsite.com IIS 8.5漏洞

[英]How to fix aspx?Dir=http://externalwebsite.com IIS 8.5 vulnerability

我與開發和預生產IIS服務器一起工作，以發布和測試我們開發的Web應用程序。 一位道德黑客顧問來了，並警告我們他們在某些服務器中發現的漏洞： http://www.ourserver.com/default_logged.aspx?Dir=http://www.anyexternalsi ...

ZAP似乎錯誤地報告了Angular應用中的路徑遍歷漏洞

[英]ZAP seems to incorrectly report path traversal vulnerability in Angular app

我正在將OWASP ZAP作為自動化CI / CD流程的一部分運行。 我正在執行蜘蛛掃描和主動掃描。 該報告表明存在路徑遍歷錯誤。 首先，這是一個Angular 2網站，因此服務器上不會顯示任何內容。 其次，當我查看帶有或不帶有“攻擊”的URL時，結果是相同的。 該URL只是將Ja ...

使用Javas File構造函數可以遍歷路徑嗎？

[英]Is path traversal possible using Javas File constructor?

我正在構建一個Web服務，用戶可以在其中上傳已解壓縮並保存到我們服務器的zip文件。 我創建了以下函數來打開指定路徑中的文件： 但是安全掃描告訴我這是不安全的，因為它可能會遍歷路徑。 提供參數（“ ../../notsafe”、“upfoldfolder”）將允許惡意攻擊者覆蓋其 ...

在Zap OWASP中獲取路徑遍歷標志，但參數完全有效

[英]Getting a path traversal flag in Zap OWASP, but parameters are perfectly valid

使用OWASP Zap進行的滲透測試正在發現許多“路徑遍歷”“漏洞”，但是該報告並沒有告訴我整個故事，或者它們對我來說似乎是絕對安全的。 例如： “ 2”是主叫實體的ID，因此是我們系統所必需的。 很明顯，很多地方都使用了同樣的東西，但這是Zap唯一的抱怨。 它找到一些示例，通常將 ...

VB.Net中File.Copy方法中的IBM AppScan安全性PathTraversal問題

[英]IBM AppScan Security PathTraversal issue in File.Copy method in VB.Net

我在VB.Net源上運行了IBM AppScan工具。我在“路徑遍歷”類別下的File.Copy方法中遇到一個安全問題。 問題詳細信息-漏洞類型-PathTraversal此API接受目錄，文件名或兩者。 如果使用用戶提供的數據來創建文件路徑，則可以操縱該路徑以指向不應被允許訪問或可能包 ...