Fortify Audit Workbench 笔记 Path Manipulation

Path Manipulation

Abstract

经过用户输入控制 file system 操做所用的路径，借此攻击者能够访问或修改其余受保护的系统资源。

Explanation

当知足如下两个条件时，就会产生 path manipulation 错误： 1. 攻击者可以指定某一 file system 操做中所使用的路径。 2. 攻击者能够经过指定特定资源来获取某种权限，而这种权限在通常状况下是不可能得到的。 例如， 在某一程序中，攻击者能够得到特定的权限，以重写指定的文件或是在其控制的配置环境下运行程序。
例 1： 下面的代码使用来自于 HTTP 请求的输入来建立一个文件名。 程序员没有考虑到攻击者可能使用像 "../../tomcat/conf/server.xml" 同样的文件名，从而致使应用程序删除它本身的配置文件。

String rName = request.getParameter("reportName");
File rFile = new File("/usr/local/apfr/reports/" + rName);
...
rFile.delete();

例 2： 下面的代码使用来自于配置文件的输入来决定打开哪一个文件，并返回给用户。 若是程序在必定的权限下运行，且恶意用户可以篡改配置文件，那么他们能够经过程序读取系统中以 .txt 扩展名结尾的全部文件。

fis = new FileInputStream(cfg.getProperty("sub")+".txt");
amt = fis.read(arr);
out.println(arr);

Recommendation

防止 path manipulation 的最佳方法是采用一些间接手段：
例如建立一份合法资源名的列表，而且规定用户只能选择其中的文件名。 经过这种方法，用户就不能直接由本身来指定资源的名称了。
但在某些状况下，这种方法并不可行，由于这样一份合法资源名的列表过于庞大、难以跟踪。 所以，程序员一般在这种状况下采用黑名单的办法。 在输入以前，黑名单会有选择地拒绝或避免潜在的危险字符。
可是，任何这样一份黑名单都不多是完整的，并且将随着时间的推移而过期。 比较好的方法是建立白名单，容许其中的字符出如今资源名称中，且只接受彻底由这些被承认的字符所组成的输入。