我有一些删除文件的方法。我使用 SonarQube 对我的代码进行静态分析。
方法代码:
private static void removeFile(MyClass someValue) {
Path filePath = Paths.get(someValue.getRootFolderPath(), someValue.getRelativePath());
if (!Files.exists(filePath)) {
LOG.warn("File does not exist", filePath.toAbsolutePath().toString());
return;
}
try {
Files.delete(filePath.getFileName());
LOG.debug("File " + someValue.getRelativePath() + " was deleted");
} catch (Exception e) {
String excMessage = "some info";
LOG.warn(excMessage, e);
}
}
声纳说:
java/nio/file/Paths.get(Ljava/lang/String;[Ljava/lang/String;)Ljava/nio/file/Path; 读取一个文件,其位置可能由用户输入指定
我添加了对 normalize 方法的调用以防止路径遍历攻击。
Path filePath = Paths.get(someValue.getRootFolderPath(), someValue.getRelativePath()).normalize();
但是 Sonar 仍然告诉我潜在的路径遍历漏洞。
我做错了什么还是有更好的解决方案来防止此类适合声纳的攻击?
UPD: 尝试了很多解决这个问题的方法,静态分析都是错误的。
易受攻击的代码:
Path filePath = Paths.get(FilenameUtils.getName(someValue.getFileName()));
Path filePath = Paths.get("some/path", FilenameUtils.getName(someValue.getFileName()));
Path filePath = Paths.get("some/path", FilenameUtils.getName(fileName));
Path filePath = Paths.get(FilenameUtils.getName(fileName));
File file = new File(someValue.getRootFolderPath(), someValue.getRelativePath());
File file = new File(someValue.getRootFolderPath(), FilenameUtils.getName(someValue.getFileName()));
File file = new File(FilenameUtils.getPath(someValue.getRootFolderPath()), FilenameUtils.getName(someValue.getFileName()));
File file = new File("some/path", FilenameUtils.getName(fileName));
File file = new File(FilenameUtils.getName(fileName));
File file = new File(FilenameUtils.getName("bla-bla-bla"));
在修复任何内容之前,请先了解漏洞。这意味着当声纳(或任何其他类似工具)突出显示一段代码时,不要试图尽快解决问题。了解问题是什么。对突出显示的漏洞进行一些研究。
攻击者可以通过这段代码来了解目录结构或访问不应该访问的文件。 Normalize() 是修复此漏洞的步骤之一,而不是完整修复。有关如何解决问题,请阅读此处