path-traversal

32熱度

3回答

我有一個Java服務器實現（TFTP，如果你很重要），我想確保它不容易受到路徑遍歷攻擊，允許訪問文件和應該不可用的位置。在迄今爲止衛冕我的最好的嘗試是拒絕匹配File.isAbsolute()然後依靠File.getCanonicalPath()解決任何../和./組件出路徑的任何條目。最後，我確保生成的路徑仍在我的服務器所需的根目錄中： public String sanitize(final

0熱度

2回答

VB.Net中的File.Copy方法中的IBM AppScan安全性PathTraversal問題

我在VB.Net源代碼上運行了IBM AppScan工具。我在Path.Transal類別下的File.Copy方法中遇到了一個安全問題。問題詳細信息 - 漏洞類型 - PathTraversal 此API接受目錄，文件名或二者兼有。如果用戶提供的數據用於創建文件路徑，則可以操作路徑以指向不應允許訪問的目錄和文件，或者可能包含惡意數據或代碼的文件。我該如何解決這個問題？ Imports Sys

0熱度

1回答

ZAP報告存在路徑穿越漏洞。它是如何找到它的？

我正在用ZAP測試一個Web應用程序，它報告了一個path traversal vulnerability。我理解它是如何工作的（至少，我是這麼認爲的），所以我回顧了代碼，測試了URL，但我找不到修復漏洞的位置。我只從ZAP知道問題只出現在URL /service/book和參數category中。有趣的是，應用程序的其餘部分沒有相同的問題。也許，如果我知道ZAP是如何找到它的，它將幫助我瞭解問

0熱度

1回答

是否可以使用Javas File構造函數進行路徑遍歷？

我正在構建一個web服務，用戶可以上傳zip文件解壓縮並保存到我們的服務器。我創建了下面的函數在一個指定的路徑打開文件： private File secureOpenFile(String fileName, String directorypath){ return new File(directorypath, fileName); } 但安全掃描告訴我，這是不是安全的，

0熱度

1回答

在Zap OWASP中獲取路徑遍歷標誌，但參數完全有效

使用OWASP Zap進行的滲透測試發現了一些Path Traversal的漏洞，但報告沒有告訴我整個故事，或者它們看起來很完美對我安全。例如： URL: http://[xxxx]/News/GetContactsList/2 Parameter: Id Attack: 2 「2」是調用實體的ID，這是我們的系統所要求的。在很多地方顯然也使用同樣的東西，但這是Zap唯一抱怨的事情。它

0熱度

1回答

JavaFX中的嵌套PathTransitions

我試圖讓我的節點沿着一個圓的路徑行進，並且同時具有沿着矩形的路徑的圓形旅行。可能嗎？這是我到目前爲止有： void move(GamePane aThis) { double speed = 10; Rectangle rectangle = new Rectangle(100, 200, 100, 500); Circle circle = new Circ