Eine Fortify-Sicherheitsüberprüfung informierte uns über Sicherheitslücken bei der Pfadmanipulation. Die meisten waren offensichtliche und einfache Korrekturen, aber ich verstehe nicht, wie ich das Folgende beheben kann.Pfadmanipulation (Sicherheitslücke)
string[] wsdlFiles = System.IO.Directory.GetFiles(wsdlPath, "*.wsdl");
"wsdlPath" wird von einer Textbox eingegeben. Ist das etwas, das einfach nicht repariert werden kann? Ich kann den Pfad validieren usw. Aber wie hilft das der Schwachstelle?
Wie wird dieser Code ausgeführt? Wenn es eine Windows-Anwendung ist, die mit den Anmeldeinformationen des Benutzers läuft, der den 'wsdlPath 'eingibt, sehe ich nichts falsch. Wenn es in einem Windows-Dienst oder als Teil einer Website ausgeführt wird, ist dies ein Problem. –
Hat der Fortify-Test die injizierte Zeichenfolge bereitgestellt? – Tung
@AndersAbel - Web-App. Ein authentifizierter Benutzer gibt den Pfad ein, und wenn es ein gültiger Pfad ist, wird er akzeptiert. – Induster