外部控制文件名或路径Veracode扫描问题

Question

我在asp.net中有一个应用程序，它使用Veracode扫描来检测应用程序中的任何安全漏洞。扫描我的某个功能时，会显示以下错误＆＃34;文件名或路径的外部控制＆＃34;。任何人都知道如何解决此错误？

示例代码：

if (!Directory.Exists(fullPath))
            Directory.CreateDirectory(fullPath);

我已经尝试验证无效字符的fullPath参数，请参阅下面的url。但问题仍然存在。任何人都可以帮我解决这个问题吗？感谢。

http://www.howtoasp.net/asp-net-security-tutorials/how-to-control-path-composition-to-protect-asp-net-web-application-from-directory-traversal-vulnerability-in-c/

Answer 1

主要是因为文件路径，文件流或流编写器。确保使用输入验证路径。 Veracode认为黑客可以添加路径说windows / importantfile并尝试访问该文件夹。

如果你没有通过输入验证你的路径，这个缺陷可能会提出veracode。

请参阅链接以获取更多信息。 Veracode directory traversal Issue c#