问题标签 [path-traversal]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - 如何修复 SCS0018?
Visual Studio 中的安全扫描 SCS0018 警告在构建期间显示。目前,我正在努力消除这些警告。我尝试了几个 MSDN 站点,但没有运气。我也读过 OWSAP,但它们与 C# 没有明确的关系。请找到路径遍历警告的图像。
代码:
google-chrome - 如何阻止谷歌浏览器从请求的 URL 中删除 ../?
我正在测试我的应用程序是否容易受到路径遍历攻击,但是当浏览到 localhost/browser/../123/456.txt 时,Chrome 会自动将 URL 转换为 localhost/browser/123/456.txt。如何防止谷歌浏览器删除 ../ 部分?
bash - 如何遍历路径包含在 BASH 中的目录
我即将编写一个在目录树结构中运行的文件解析器。一旦我找到一个特定的叶目录,我想遍历路径所包含的所有目录并在其中执行一些操作。
假设路径是:/d1/d2/d3. 现在我想检查一个文件x是否存在于/d1,/d1/d2和/d1/d2/d3分别以该顺序。
当然,可以做这样的事情:
但是有没有更优雅的解决方案呢?
谢谢你。
php - Processmaker 3.* 路径遍历问题
我将 Processmaker 3.1.3 运行到 RHEL-7 服务器中。但是最近我发现服务器容易受到路径遍历攻击。整个应用程序是通过文件运行App.php进入$App_Dir/workflow/public_html目录处理url重定向等操作。目前,我正在使用这段代码来防止App.php位于$App_Dir/workflow/public_html.
但我认为这不是一个完美的解决方案。应用程序可能随时卡住。有什么建议/解决方案吗?
TIA
java - 在机器人中测试时,Java webapp 代码返回路径遍历问题
因此,我的任务是在基本的 Java Web 应用程序中修复路径遍历问题,但我非常卡住。我们的目的是从本质上确保代码是安全的,同时保持功能(这是我正在努力的部分)
到目前为止,我已经在网上查看了如何解决我收到的问题,并且我设法解决了这些问题,但是测试代码的机器人返回一条消息,指出该应用程序不再具有功能,但是是安全的。
我收到的 2 个错误如下:
1) FileDownload 中的 PATH_TRAVERSAL_IN。java 源文件文件下载。java 类名 chatapp。FileDownload 方法名称 doGet Source Line 31
2) FileDownload 中的 PT_RELATIVE_PATH_TRAVERSAL。java 源文件文件下载。java 类名 chatapp。FileDownload 方法名称 doGet Source Line 28
作为参考,此代码是其功能的原始代码,但它不安全。
有没有人有解决这类问题的经验?我有点困惑
python - 使用python请求进行路径遍历
最近,我想通过 python 请求模块自动攻击一个容易受到路径遍历攻击(NVMS1000)的 Web 应用程序。
通过使用选项 path-as-is,该请求与 curl 完美配合:
但是,当使用 python 请求模块时,从 urlpath 中剥离的“../”(我可以通过 Burp Suite 清楚地看到):
我检查了文档,但没有找到对此行为的任何解释,也没有找到防止剥离/标准化的选项,类似于 curl 的选项。
平台是debian,请求模块是2.22.0版本
谢谢你的帮助。
java - 针对目录遍历进行测试
我在这个网站上阅读了关于测试目录遍历的内容:https://wiki.owasp.org/index.php/Testing_Directory_traversal/file_include_(OTG-AUTHZ-001)
最后它说
缺陷测试通过以下方式实现:
但....\\ or ..../实际上实现了什么?Javas URI 方法“normalize()”并不关心它,当我在 Windows 机器上尝试它时没有任何反应。
javascript - Djikstra 算法有问题
尝试通过本文中的说明实现 Dijkstra:
https://medium.com/@adriennetjohnson/a-walkthrough-of-dijkstras-algorithm-in-javascript-e94b74192026
我的回复如下:
https://repl.it/@Stylebender/DJIK#index.js
Graph 类中的实际 Dijkstra 方法引发了未定义的错误。只是想知道是否有错字或我做错了什么?
无论如何,这将是 Dijkstra 的可靠实现吗?
azure - Azure 存储是否允许路径遍历?
安全方面,如果我从用户那里收到部分路径,我需要清理它们吗?
过度简化的示例(在 Python 中):
可以input()包含../并因此导致路径遍历攻击?
c# - 下载文件时修复 Path_traversel
如何修复此代码,使其不指责此类漏洞?
我是用checkmarx扫描的,他下载文件的时候遇到这个问题
checkmarx 报告的错误:
src\BR.Rve.UI.Site\Controllers\DownloadFileController.cs 第 13 行的方法索引从 fileName 元素获取动态数据。然后,该元素的值流经代码,最终在 src\BR.Rve.UI.Site\Controllers\DownloadFileController.cs 第 13 行的 Index 中用于本地磁盘访问的文件路径中使用。这可能会导致路径遍历漏洞。”我在解决这个问题时遇到了一些麻烦
我在解决这个问题时遇到了一些麻烦
我的原始代码:
我在下面尝试过这个解决方案,但它没有用
我可以在代码中做些什么来避免扫描时出现此类问题