Java防御路径操作(Path Manipulation) 的正确姿势

这篇具有很好参考价值的文章主要介绍了Java防御路径操作(Path Manipulation) 的正确姿势。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

路径操作(Path Manipulation)的漏洞,简言之就是在路径中包含有一些特殊字符(… 或者 / 等),导致可以访问到期望目录之外的文件。

比如路径地址是/usr/local/myapp/../../../etc/passwd,对应到访问到的文件就是/etc/passwd, 而这个文件是系统的文件,保存用户密码。

使用Coverity 扫描的信息如下:

Filesystem path, filename, or URI manipulation
An attacker may access, modify, or corrupt files that contain sensitive information or are critical to the application.

关于路径操作漏洞,可以参考:
软件弱点预防之 —— Filesystem path, filename, or URI manipulation - 操控文件系统路径、文件名或 URI

本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。

防御方法分析

在代码层面来看, 防御路径操作的方法就是对输入进行验证,根据对字符是否合法的角度来看, 可以分为两种:文章来源地址https://www.toymoban.com/news/detail-402206.html

  1. 黑名单 : 将不安全的字符列入黑名单,
  2. 白名单 : 将预期的字符加入白名单。 或者更严格一点,创建一份合法资源名的列表,并且规定用户只能选择其中的文

到了这里,关于Java防御路径操作(Path Manipulation) 的正确姿势的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • PHP文件上传漏洞原理以及防御姿势

    0x00 漏洞描述 ​ 在实际开发过程中文件上传的功能时十分常见的,比如博客系统用户需要文件上传功能来上传自己的头像,写博客时需要上传图片来丰富自己的文章,购物系统在识图搜索时也需要上传图片等,文件上传功能固然重要,但是如果在实现相应功能时没有注意安全

    2024年02月02日
    浏览(72)
  • Kali字典正确使用姿势

    终端输入wordlists,可以查看自带字典。ls -al 查看具体路径 /usr/share/wordlists/目录下带了rockyou的字典。2009年一家名叫rockyou的公司遭到了黑客攻击,他们的密码列表以明文存储,黑客下载了所有的密码列表并且公开。rockyou.txt包含14341564个唯一密码,用于32603388个帐户。 rockyou.t

    2024年02月06日
    浏览(46)
  • 符号化的正确姿势

    将 .ips crash report 文件拖放到 Xcode Window Devices and Simulators View Device Logs 中, 然后导出 .crash 符号化文件. 使用条件: crash report 对应的 Archive 包是在本机构建的 symbolicatecrash 是一个 exec (可执行文件), Xcode自带, iOS 15 之前的系统产生的 crash report, 可以直接被整个符号化, 文件路径可以

    2024年02月13日
    浏览(66)
  • 开源语言大模型的正确姿势

    作者 | Nathan Lambert OneFlow编译 翻译|杨婷、宛子琳 如今,很多公司都被迫加快步伐,参与到开源语言大模型(LLM)的竞争之中。发布某种形式的开源语言大模型已成为机器学习公司实力的象征。最近,Mistral AI 完成资金筹集,发布了一款拥有 70 亿参数的强大语言模型。 尽管更

    2024年02月04日
    浏览(38)
  • 软路由的正确组网姿势(上篇)

    相信很多小伙伴儿已经在自己的设备上刷好了 OpenWrt 系统,成功拥有了人生第一台软路由。那么接下来就要考虑如何将它连接到自己的家庭网络中,也就是组网的问题。只有正确组网,它才能实现你期望的那些功能。 软路由可以作为主路由或旁路由使用 ,也就是对应两种不

    2024年02月04日
    浏览(33)
  • Hive更改字段类型的正确姿势

    step1 更改表名 step2 创建一个和原来表结构相同的名字 step3 原来数据按分区动态插入

    2024年02月15日
    浏览(37)
  • 下载huggingface上模型的正确姿势

    更多、更及时内容欢迎留意 微信公众号 : 小窗幽记机器学习 之前下载huggingface上模型的时候,要么是用类似如下脚本的方式下载: 要么是在 Files and versions 中点击目标文件逐一下载: 那么是否有更方便的方式,一行命令直接下载整个模型文件?有的,使用 git lfs 即可。 L

    2024年02月11日
    浏览(45)
  • 这才是 玩转Github 的正确姿势

    GitHub各位应该都很熟悉了,全球最大的开源社区,也是全球最大的同性交友网站~~,但是大部分同学使用GitHub应该就是通过别人的开源链接,点进去下载对应的项目,而真正使用Github来查找开源项目的还是少数, 面试总得有几个和所求岗位相关的项目,如果应届生、转行的童

    2024年02月03日
    浏览(38)
  • 卷大模型开源,正确姿势是什么?

    原创:谭婧 从“古”至今, AI 的江湖,都是开源引领技术发展。 (此处咬牙切齿表态:不接受反驳)。 虽然 Stable Diffusion 作为开源的图像生成模型,将图像生成提到了全新境界,但是 GPT-4 的出现,似乎动摇了人们的信念。 要我说,那些人只是信念不坚定。 眼看 Meta 公司(

    2024年02月21日
    浏览(43)
  • springboot整合netty的正确姿势

    近期做一些物联网方面项目,使用到了tcp协议,之前公司做过socket短连接,网上找了一个简单的demo,很早便学习到nio方面知识,学习了《netty从入门到精通》这本书,同时也根据网上视频做了几个demo,但学习不太深入,刚好物联网项目,就直接使用netty,前期直接使用这个框

    2024年02月05日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包