java 目录遍历漏洞_路径遍历 漏洞修复

最新推荐文章于 2025-02-06 16:37:08 发布
最新推荐文章于 2025-02-06 16:37:08 发布
阅读量3.6k 收藏 6
点赞数
CC 4.0 BY-SA版权
文章标签: java 目录遍历漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39653717/article/details/114757736
本文介绍了一种防止路径遍历攻击的方法,通过过滤文件名中的特殊字符来避免非法路径访问。提供了一个实用的Java类PreventTraversalUtil,该类包含静态方法filenameFilter,用于清理可能引起路径遍历的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

package net.radar.util;

import java.util.regex.Pattern;

public class PreventTraversalUtil {

private static Pattern FilePattern = Pattern.compile("[\\\\/:*?\"<>|]");

/**

* 路径遍历 漏洞修复

* @param str

* @return

*/

protected static String filenameFilter(String str) {

return str==null?null:FilePattern.matcher(str).replaceAll("");

}

}

调用

/**

* 根据PageTemplateConfig对象读取模板文件内容

*

* @return 模板文件内容

*/

public static String readTemplateFileContent(PageTemplateConfig pageTemplateConfig) {

String filenameFilter = PreventTraversalUtil.filenameFilter(CommonUtil.getWebRootPath() + pageTemplateConfig.getTemplatePath());

File templateFile = new File(filenameFilter);

// File templateFile = new File(CommonUtil.getWebRootPath() + pageTemplateConfig.getTemplatePath());

String templateFileContent = null;

try {

templateFileContent = FileUtils.readFileToString(templateFile, "UTF-8");

} catch (IOException e) {

e.printStackTrace();

}

return templateFileContent;

}

apache目录遍历漏洞利用_【渗透测试】目录遍历漏洞
weixin_39757743的博客
01-26 1738
许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名形如:http://www.nuanyue.com/getfile=image.jgp当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者。初看,在只是文件交互的一种简单的过程,但是由于文件名...
路径遍历攻击与修复
最新发布
zqmattack的博客
06-27 860
路径遍历攻击(Path Traversal),也称为目录遍历攻击(Directory Traversal),是一种常见的Web安全漏洞。攻击者利用该漏洞可以访问应用程序预期访问范围之外的文件目录,甚至可能读取、修改或删除服务器上的敏感文件(如配置文件系统文件、源代码、用户数据等)。
java代码审计之目录遍历的解决
chinaherolts2008的博客
08-01 755
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户指定的文件名,看似正常,但实际用户输入的参数不可控,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序的数据库,redie等核心配置文件,因此具有一定的风险性。目录穿越漏洞,也叫做目录遍历/路径遍历漏洞,本文主要介绍了java代码审计之目录遍历的解决,文中通过案例介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 8235
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
Java路径遍历漏洞修复心得
热门推荐
小猪呀的博客
02-01 2万+
一、路径遍历 路径遍历是指应用程序接收了未经合理校验的用户参数用于进行与文件读取查看相关操作,而该参数包含了特殊的字符(例如“..”和“/”),使用了这类特殊字符可以摆脱受保护的限制,越权访问一些受保护的文件目录或者覆盖敏感数据。本文以JAVA 语言源代码为例,分析路径遍历缺陷及该缺陷产生的原因及修复方法。 二、缺陷代码 172行因为localFile因为接收参数后未对参数做合理校验,可能会收到../file.text,假定文件路径有效,则可能导致读取了 uploads 父目录下的 file.t
目录遍历漏洞
Loadrunn的专栏
05-04 1万+
目录遍历漏洞”指通过在URL或参数中构造“../”,或“../”和类似的跨父目录字符串的ASCII编码、unicode编码等,完成目录跳转,读取操作系统各个目录下的敏感文件,也可以称作“任意文件读取漏洞”。 ../ ..%2F /%c0%ae%c0%ae/ %2e%2e%2f ..\ ..// 目录遍历漏洞原理:程序没有充分过滤用户输入的../之类的目录跳转符,导致用户可以
java路径遍历漏洞修复/nacos未授权访问漏洞修复-零开始渗透入门教程
2401_84915584的博客
06-25 515
IT之家 5 月 31 日消息,Git 分布式版本控制系统已经发布新版本,紧急修复了 5 个安全漏洞,其中最“关键”的漏洞追踪编号为 CVE-2
[JAVA代码审计]OFCMS路径遍历漏洞
Y4tacker的博客
05-19 1705
文章目录写在前面分析 写在前面 今天分析的第二篇,当时在网上看到爆了这个漏洞那么就分析一下啦 网上似乎没有人写,那就让本小可爱来吧 分析 漏洞点存在于后台的模板文件查看处 漏洞函数位于com/ofsoft/cms/admin/controller/cms/TemplateController.java下的getTemplates函数,首先是接收这三个参数,当时是get传参方式 //当前目录 String dirName = getPara("dir",""); //上级目录 String upDir
Spring框架中文件目录遍历漏洞 Directory traversal in Spring framework
BearFinn的博客
04-24 3446
Spring框架中文件目录遍历漏洞 Directory traversal in Spring framework 官方给出的描述是Spring框架中报告了一个与静态资源处理相关的目录遍历漏洞。某些URL在使用前未正确加密,使得攻击者能够获取文件系统上的任何文件,这些文件也可用于运行SpringWeb应用程序的进程。 受影响的版本: Spring Framework 3.0.4 to 3.2.11...
springboot 修复 Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)
m0_74824845的博客
02-06 821
安全版本6.0.24 和 6.1.13 是springboot3.x使用的版本,springboot3.x的用户只需要将springboot升级到最新版本即可,官方已发布最新版本,如下图所示,springboot3.2以下版本已不再提供更新维护。不过,有时间的情况下最好升级到最新版本,老版本已不再维护,谁知道下一次其他漏洞什么时候会到来呢。那么针对比较老旧的项目,比如SpringMVC+JSP的老项目,升级比较困难,或者自己短时间内抽不出时间来改造的项目,我们应该怎么办,Spring官方解释如下。
Java路径问题最终解决方案之一.
10-09
Java路径问题最终解决方案之一Java路径问题最终解决方案之一
javaWeb安全验证漏洞修复总结
12-29
javaWeb安全验证漏洞修复总结j,涉及到1.会话未更新。2.SQL注入,盲注。3已解密请求。4.跨站点请求伪造。5不充分账户封锁 等近10来个的问题解决心得
java修复路径遍历漏洞_应用安全 - 中间件 - 解析漏洞 - 路径遍历 - 漏洞 - 汇总...
weixin_31459297的博客
02-27 932
../../../WEB-INF/web.xml../../../../../../etc/passwdC:/inetpub/wwwroot/global.asaC:\inetpub\wwwroot\global.asaC:/boot.iniC:\boot.iniD:\inetpub\wwwroot\global.asaD:/inetpub/wwwroot/global.asa(1)xx.php?...
JAVA安全之目录遍历漏洞
天天学安全专属博客
03-23 1501
JAVA安全之目录遍历
java缺陷修复
while(life)++;
03-13 4413
输入验证:日志伪造 问题 允许日志记录未经验证的用户输入,会导致日志伪造攻击。 解决
java 目录遍历漏洞_Jetty服务器跨站脚本和目录遍历漏洞
weixin_32953371的博客
02-26 1152
Jetty是一款流行的Java Web服务器。Jetty中捆绑有HTTP服务器、HTTP客户端和javax.servlet容器, 其中HTTP服务器的URI处理器没有正确的解释规范的路径,远程攻击者可以通过目录遍历攻击访问web应用或文档树以外的文件。成功利用这个漏洞要求使 用了支持别名的DefaultServlet,或使用ResourceHandler类提供静态内容。对于UNIX系统,仅在web...
java 目录遍历漏洞_12.路径遍历漏洞
weixin_31523667的博客
02-26 2499
12.1 任意文件下载这是开发人员在实现下载功能的时候很容易引入的一个漏洞。我曾经利用该漏洞渗透两个系统,纯手工,前后不到十分钟就把两个操作系统的root权限擒下了。这应该高度引起开发人员的注意,而实际上,却没几开发人员有意识去避免这些漏洞的产生。以下这段代码用于实现文件下载,当然,这段代码是有严重漏洞的。(希望你的系统中没有类似的实现)StringfileName=request.getPara...
java web 上传图片漏洞_基于 java 【Web安全】文件上传漏洞目录遍历攻击
weixin_39697096的博客
02-17 901
前言:web安全之文件上传漏洞,顺带讲一下目录遍历攻击。本文基于 java 写了一个示例。原理在上网的过程中,我们经常会将一些如图片、压缩包之类的文件上传到远端服务器进行保存。文件上传攻击指的是恶意攻击者利用一些站点没有对文件的类型做很好的校验,上传了可执行的文件或者脚本,并且通过脚本获得服务器上相应的权利,或者通过诱导外部用户访问、下载上传的病毒或木马文件,达到攻击的目的。文件上传漏洞指攻击者利...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值