C# · 12月 23, 2021

c# – 路径操作(安全漏洞)

Fortify安全审查向我们通报了一些路径操纵漏洞.大多数已经很明显,很容易修复,但我不明白如何解决以下问题. string[] wsdlFiles = System.IO.Directory.GetFiles(wsdlPath,”*.wsdl”);

“wsdlPath”是从文本框输入的.这是不能修复的东西吗?我可以验证存在的路径等,但是如何帮助漏洞呢?

解决方法 如果数据总是从文本框中获取,其内容由用户确定,并且代码使用该用户的权限运行,则唯一的威胁是用户攻击自己的威胁.这不是一个有趣的威胁.

该工具试图提醒您的漏洞是,如果低信任恶意代码可以确定该字符串的内容,则恶意代码可以尝试发现有关用户计算机的事实,例如“就是这样且这样的程序我碰巧知道安装了一个安全漏洞并且没有打补丁?“或者“这台机器上有一个名为’admin’的用户?”等等.