Question

Найти снимок здесь Во время работы инструмента [IBM Security AppScan] для одного из моих веб-приложений mvc asp.net я обнаружил в своем коде уязвимости обхода пути.Пожалуйста, смотрите прикрепленный снимок и пример кода, чтобы лучше понять проблему.Есть ли способ исправить такие проблемы?

Пример кода:

var storagePath = ConfigurationManager.AppSettings.Get("DOCS_STORAGE_PATH") + @"\Attachments";
var strMonth = DateTime.Now.Month.ToString().Length == 1 ? "0" + DateTime.Now.Month : DateTime.Now.Month.ToString();
var strYear = DateTime.Now.Year.ToString();
var strFolder = strYear + @"\" + strMonth + @"\";
storagePath = storagePath + @"\" + strFolder;

if (!Directory.Exists(@"" + storagePath))
{
    Directory.CreateDirectory(@"" + storagePath);
}

SPoint · Answer 1 · 26 сентября 2019

Вам нужно применить проверку ввода для решения вашей проблемы.вы должны проверить storagePath в первой строке после прочтения конфигурации.

Но, в любом случае, если путь хранится в конфигурации на вашем сервере, я подозреваю, что ложное положительное значение из источника AppScan

Как исправить уязвимость безопасности обхода каталога в C # asp.net?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как исправить уязвимость безопасности обхода каталога в C # asp.net?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы