问题标签 [path-manipulation]

最近，虽然我的 android 应用程序审计员的源代码审计提出了一些问题，例如路径操纵、隐私侵犯攻击？

自最近几天以来，我一直在寻找合适的解决方案，但找不到任何富有成效的解决方案。请为我提供以下查询的解决方案。

如何防止攻击者操纵文件路径？

如何验证参数以使攻击者无法更改此参数？输入消毒 ? 如何应用它？

编辑1：

错误处理机密信息的方法可能会损害用户隐私并且通常是非法selectDataFromDB()的。MyActivity.java

我有一种情况，位于%AppData%\Microsoft\Windows\Start Menu\Programs文件夹和子文件夹中的快捷方式文件中的所有路径都指向不正确的驱动器号。这包括Target:值、Start In:值以及图标文件的所有路径。我想将它们全部更改X:\为C:\

有几个正确指向，C:\但只有少数几个。

这是我正在使用的代码。我可以更改TargetPath但不能更改WorkingDirectory值。我尝试删除第 20 行的注释，但这会产生关于$null-valued 表达式的错误。我也尝试过复制该位，TargetPath但WorkingDirectory它没有改变：

我正在构建一个可以部署到 Windows 或 Linux Docker 容器的数据传输工具，该容器必须指示 SQL Server 拍摄数据库快照。此外，SQL Server 可能在 Windows 或 Linux 上，我需要指定.ss 文件在服务器上的位置。我一直在使用Path.GetFilenameWithoutExtension,Path.Combine等，但Path操作是在运行应用程序的操作系统的上下文中完成的。当我与 Windows 上的 SQL Server 实例交谈时，我需要可以在 Linux 中运行的 WindowsPath.Combine 之类的东西。现在我做自己的字符串操作，但Path如果可能的话，我更喜欢使用或专门构建的东西。我知道我正在运行什么操作系统，并且操作系统 SQL Server 正在运行，并且只需要一个与操作系统无关的Path.

我一直在解决我们应用程序中的强化问题。下面的代码总是报告为路径操作问题。我不明白为什么。此方法中没有用户输入。有人可以帮我解决这个问题吗？我不知道如何解决这个问题。这是c#代码

我正在尝试在我的 python 代码上运行 fortify 分析器，并且我正在尝试读取由我的 kubernetes 服务器创建的文件，但我被标记为路径操作..

我可以做些什么来处理我的 python 代码中的这个关键级别？

我无能为力，因为这是我的 kubernetes 服务器的默认路径安装。

当我们在 fortify 安全修复扫描工具中扫描代码时。我们收到以下有关路径操纵攻击的消息“攻击者能够控制 FileInfo() 的文件系统路径参数，这允许他们访问或修改受保护的文件。允许用户输入控制文件系统操作中使用的路径可以启用攻击者访问或修改其他受保护的系统资源。”

}

有什么方法可以解决上述问题。？

我想编写一个将常规路径转换为包含环境变量的路径的函数：

例如：

转换成：

我该怎么做，这可能吗？

这是我想要做的，但问题是，我需要检查字符串中所有可能的变量，有没有更自动的方法？这样就不需要 -replace 运算符

输出是：

编辑： 无效输入或错误代码并不是真正的问题，因为最终$Path可以很容易地检查：

我正在使用此代码读取 Java 文件夹中以“.properties”结尾的所有文件。

Fortify 扫描因安全漏洞而失败，try (BufferedReader br = new BufferedReader(new FileReader(file)))该漏洞表明存在路径操纵的可能性。