如何防止Null Byte注射? 见:https://security.stackexchange.com/q/378
如果请求参数将用作文件名,我们应该查看请求参数的每个字节并检查其“字节”值是否为0?
答案 0 :(得分:0)
您有3个选择:
1 扫描Java字符串(首先将其转换为char数组)以获取空字节。
2清理用户输入(即检查'%00' - 它是URL编码的空字节。)。但要小心!黑客使用不同的编码,所以#1更安全!
3升级到Java 8或Java 7u40并且您受到保护。 (是的,我测试了它!它有效!)
10月10日,Oracle修复了问题:http://bugs.java.com/bugdatabase/view_bug.do?bug_id=8014846