繼續對Fortify的漏洞進行總結,本篇主要針對 Path Manipulation(路徑篡改)的漏洞進行總結,以下:程序員
一、Path Manipulation(路徑篡改)
1.一、產生緣由:
當知足如下兩個條件時,就會產生 path manipulation 錯誤:tomcat
1. 攻擊者能夠指定某一文件系統操做中所使用的路徑。spa
2. 攻擊者能夠經過指定特定資源來獲取某種權限,而這種權限在通常狀況下是不可能得到的。server
例如,在某一程序中,攻擊者能夠得到特定的權限,以重寫指定的文件或是在其控制的配置環境下運行程序。xml
例 1: 下面的代碼使用來自於 HTTP 請求的輸入來建立一個文件名。程序員沒有考慮到攻擊者可能使用像「../../tomcat/conf/server.xml」同樣的文件名,從而致使應用程序刪除它本身的配置文件。blog
String rName = request.getParameter("reportName");ip
File rFile = new File("/usr/local/apfr/reports/" + rName);資源
...get
rFile.delete()io
例 2: 下面的代碼使用來自於配置文件的輸入來決定打開哪一個文件,並返回給用戶。若是程序在必定的權限下運行,且惡意用戶可以篡改配置文件,那麼他們能夠經過程序讀取系統中以 .txt 擴展名結尾的全部文件。
fis = new FileInputStream(cfg.getProperty("sub")+".txt");
amt = fis.read(arr);
out.println(arr);
1.二、修復方案:
方案一:建立一份合法資源名的列表,而且規定用戶只能選擇其中的文件名。經過這種方法,用戶就不能直接由本身來指定資源的名稱了。
但在某些狀況下,這種方法並不可行,由於這樣一份合法資源名的列表過於龐大、難以跟蹤。所以,程序員一般在這種狀況下采用方案二,黑名單+白名單 雙重過濾路徑的辦法。
方案二:在輸入以前,黑名單會有選擇地拒絕或避免潛在的危險字符(例以下面例子過濾了..字符)。同時建立一份白名單,容許其中的字符出如今資源名稱中,且只接受徹底由這些被承認的字符組成的輸入。
圖1.2.1:合法路徑的白名單字符
圖1.2.2:過濾路徑的非法字符公共方法