1.扫描结果

2.演示

     方式1:/users/wenfx/temple/test/FX 路径下有abc.txt

    方式2: /users/wenfx/temple路径下也有abc.txt

原本传入方式1,当路径篡改变成2时,删除的文件就变了(读取一样)

3.解决方案

1.简单:过滤路径中../类似的特定字符。

2.复杂:路径篡改最有效的解决办法就是避免用户直接输入文件名,建立文件白名单的形式。但我们在涉及文件上传时,往往无法限定一个白名单

更多推荐

Fortify代码扫描漏洞-Path Manipulation(路径操纵)