의미없는 블로그
Fortify 탐지 패턴 (Path Manipulation) 본문
Path Manipulation
경로 조작 취약점 (파일 업로드/다운로드 등)
걍 new File 키워드로 파일 관련된 부분 몽땅 다 잡는다
얘가 입력값으로 부터 오는건지 어디서 오는건지는 걍 다 봐야됨
Wrapper.java 에 getParameter 가 있으면 전처리 라고 생각하는지
모든 케이스마다 다 붙여서 나옴
| Util.jsp String filenames = System.getProperty("catalina.home") + "/conf/server.xml" File serverXml = new File(filenames); ... |
걍 filnames 가 입력값인지 뭔지 상관없고
new File 이니까 걍 잡음
'# 나 > source Code' 카테고리의 다른 글
| [XSS] Content-Disposition: attachment (0) | 2024.12.23 |
|---|---|
| [ASP.NET.C#] Stored XSS 취약점 (0) | 2024.05.24 |
| 소스코드 진단용 (0) | 2024.05.10 |
| [Spring/Java] Interceptor 에서 Annotation 처리 (0) | 2024.05.10 |
| [Spring/Java] 비밀번호 검증 로직 (0) | 2024.05.10 |
Comments