我有一些删除文件的方法。我使用SonarQube对我的代码进行静态分析。
方法代码:
private static void removeFile(MyClass someValue) {
Path filePath = Paths.get(someValue.getRootFolderPath(), someValue.getRelativePath());
if (!Files.exists(filePath)) {
LOG.warn("File does not exist", filePath.toAbsolutePath().toString());
return;
}
try {
Files.delete(filePath.getFileName());
LOG.debug("File " + someValue.getRelativePath() + " was deleted");
} catch (Exception e) {
String excMessage = "some info";
LOG.warn(excMessage, e);
}
}
索纳说:
的java / NIO /文件/ Paths.get(Ljava /郎/字符串; [Ljava /郎/字符串;)Ljava / NIO /文件/路径; 读取位置可能由用户输入
指定的文件
我添加了 normalize 方法的调用以防止路径遍历攻击。
Path filePath = Paths.get(someValue.getRootFolderPath(), someValue.getRelativePath()).normalize();
但是Sonar仍然向我讲述了潜在的路径遍历漏洞。
我做错了什么或有更好的解决方案来防止适合Sonar的此类攻击?
UPD : 已经尝试了很多解决这个问题的方法,并且静态分析都错了。
弱势代码:
Path filePath = Paths.get(FilenameUtils.getName(someValue.getFileName()));
Path filePath = Paths.get("some/path", FilenameUtils.getName(someValue.getFileName()));
Path filePath = Paths.get("some/path", FilenameUtils.getName(fileName));
Path filePath = Paths.get(FilenameUtils.getName(fileName));
File file = new File(someValue.getRootFolderPath(), someValue.getRelativePath());
File file = new File(someValue.getRootFolderPath(), FilenameUtils.getName(someValue.getFileName()));
File file = new File(FilenameUtils.getPath(someValue.getRootFolderPath()), FilenameUtils.getName(someValue.getFileName()));
File file = new File("some/path", FilenameUtils.getName(fileName));
File file = new File(FilenameUtils.getName(fileName));
File file = new File(FilenameUtils.getName("bla-bla-bla"));