繼續對Fortify的漏洞進行總結,本篇主要針對 Path Manipulation(路徑篡改)的漏洞進行總結,如下:
1、Path Manipulation(路徑篡改)
1.1、產生原因:
當滿足以下兩個條件時,就會產生 path manipulation 錯誤:
1. 攻擊者可以指定某一文件系統操作中所使用的路徑。
2. 攻擊者可以通過指定特定資源來獲取某種權限,而這種權限在一般情況下是不可能獲得的。
例如,在某一程序中,攻擊者可以獲得特定的權限,以重寫指定的文件或是在其控制的配置環境下運行程序。
例 1: 下面的代碼使用來自於 HTTP 請求的輸入來創建一個文件名。程序員沒有考慮到攻擊者可能使用像“../../tomcat/conf/server.xml”一樣的文件名,從而導致應用程序刪除它自己的配置文件。
String rName = request.getParameter("reportName");
File rFile = new File("/usr/local/apfr/reports/" + rName);
...
rFile.delete()
例 2: 下面的代碼使用來自於配置文件的輸入來決定打開哪個文件,並返回給用戶。如果程序在一定的權限下運行,且惡意用戶能夠篡改配置文件,那么他們可以通過程序讀取系統中以 .txt 擴展名結尾的所有文件。
fis = new FileInputStream(cfg.getProperty("sub")+".txt");
amt = fis.read(arr);
out.println(arr);
1.2、修復方案:
方案一:創建一份合法資源名的列表,並且規定用戶只能選擇其中的文件名。通過這種方法,用戶就不能直接由自己來指定資源的名稱了。
但在某些情況下,這種方法並不可行,因為這樣一份合法資源名的列表過於龐大、難以跟蹤。因此,程序員通常在這種情況下采用方案二,黑名單+白名單 雙重過濾路徑的辦法。
方案二:在輸入之前,黑名單會有選擇地拒絕或避免潛在的危險字符(例如下面例子過濾了..字符)。同時創建一份白名單,允許其中的字符出現在資源名稱中,且只接受完全由這些被認可的字符組成的輸入。
圖1.2.1:合法路徑的白名單字符
圖1.2.2:過濾路徑的非法字符公共方法