Question

我有一些删除文件的方法。我使用SonarQube对我的代码进行静态分析。

方法代码：

private static void removeFile(MyClass someValue) {
    Path filePath = Paths.get(someValue.getRootFolderPath(), someValue.getRelativePath());

    if (!Files.exists(filePath)) {
        LOG.warn("File does not exist", filePath.toAbsolutePath().toString());
        return;
    }

    try {
        Files.delete(filePath.getFileName());
        LOG.debug("File " + someValue.getRelativePath() + " was deleted");
    } catch (Exception e) {
        String excMessage = "some info";
        LOG.warn(excMessage, e);
    }
}

索纳说：

的java / NIO /文件/ Paths.get（Ljava /郎/字符串; [Ljava /郎/字符串;）Ljava / NIO /文件/路径; 读取位置可能由用户输入
指定的文件

我添加了 normalize 方法的调用以防止路径遍历攻击。

Path filePath = Paths.get(someValue.getRootFolderPath(), someValue.getRelativePath()).normalize();

但是Sonar仍然向我讲述了潜在的路径遍历漏洞。

我做错了什么或有更好的解决方案来防止适合Sonar的此类攻击？

UPD ：已经尝试了很多解决这个问题的方法，并且静态分析都错了。

弱势代码：

Path filePath = Paths.get(FilenameUtils.getName(someValue.getFileName()));
Path filePath = Paths.get("some/path", FilenameUtils.getName(someValue.getFileName()));
Path filePath = Paths.get("some/path", FilenameUtils.getName(fileName));
Path filePath = Paths.get(FilenameUtils.getName(fileName));
File file = new File(someValue.getRootFolderPath(), someValue.getRelativePath());
File file = new File(someValue.getRootFolderPath(), FilenameUtils.getName(someValue.getFileName()));
File file = new File(FilenameUtils.getPath(someValue.getRootFolderPath()), FilenameUtils.getName(someValue.getFileName()));
File file = new File("some/path", FilenameUtils.getName(fileName));
File file = new File(FilenameUtils.getName(fileName));
File file = new File(FilenameUtils.getName("bla-bla-bla"));

Answer 1

在修复任何内容之前，请先了解漏洞。这意味着当声纳（或任何其他类似工具）突出显示一段代码时，不要试图尽快摆脱问题。了解问题所在。对突出显示的漏洞做一些研究。

这段代码暴露出攻击者可以了解目录结构或访问不应该访问的文件。 normalize（）是修复此漏洞的步骤之一，而不是完整修复。关于如何处理修复，请阅读here

也提供了一个示例修复here。我希望有所帮助。

SonarQube Java路径遍历攻击

1 个答案: