Java防御⽬录穿越漏洞⽅法_防御路径穿越攻击的最佳⽅法是
网上申请个人营业执照
什么?
我有⼀个Java服务器实现(TFTP,如果你很重要),我想确保它不容易受到路径遍历攻击,允许访问⽂件和应该不可⽤的位置。防御路径穿越攻击的最佳⽅法是什么?
财务职责在迄今为⽌卫冕我的最好的尝试是拒绝匹配File.isAbsolute()然后依靠CanonicalPath()解决任何../和./组件出路径的任何条⽬。最后,我确保⽣成的路径仍在我的服务器所需的根⽬录中:
东岳观public String sanitize(final File dir, final String entry) throws IOException {
if (entry.length() == 0) {
throw new PathTraversalException(entry);
}
if (new File(entry).isAbsolute()) {《秋》丰子恺
throw new PathTraversalException(entry);
}
健全的人格final String canonicalDirPath = CanonicalPath() + File.parator;
final String canonicalEntryPath = new File(dir, entry).getCanonicalPath();
回忆录if (!canonicalEntryPath.startsWith(canonicalDirPath)) {
throw new PathTraversalException(entry);
}
怎么治男人>吊针图片
return canonicalEntryPath.substring(canonicalDirPath.length());
}
是否存在这种未命中的安全问题?有更好/更快的⽅法可以实现同样的结果吗?
代码需要在Windows和Linux之间⼀致⼯作。
+1
不要忘记禁⽌访问⽂件系统中随处可见的Windows特殊设备(NUL,COM1等)。 –
2010-03-03 23:46:33
+0
2010-03-04 00:13:08
+0
为什么你不能在你的配置Apache/IIS服务器呢? –
2010-03-04 10:00:14
