1.扫描结果
2.演示
方式1:/users/wenfx/temple/test/FX 路径下有abc.txt
方式2: /users/wenfx/temple路径下也有abc.txt
原本传入方式1,当路径篡改变成2时,删除的文件就变了(读取一样)
3.解决方案
1.简单:过滤路径中../类似的特定字符。
2.复杂:路径篡改最有效的解决办法就是避免用户直接输入文件名,建立文件白名单的形式。但我们在涉及文件上传时,往往无法限定一个白名单
更多推荐
Fortify代码扫描漏洞-Path Manipulation(路径操纵)
发布评论