任意文件操作 - 文件删除

  任意文件删除:攻击者在系统中删除任何文件,可能导致数据丢失或系统崩溃

漏洞场景:ProcessBuilder 流量分析

文件路径没做限制,可使用../遍历删除任意文件

tips
当然,在实际做文件删除测试中,还是要谨慎些,避免造成不可逆的影响
                                            

缺陷代码

安全场景:文件删除目录限制

可尝试删除test.txt、text.jsp文件

tips
安全编码建议:
    1、限制目录访问:将用户的文件操作限制在特定的安全目录内,确保所有路径操作都在该目录下进行。
    2、输入验证和清理:过滤用户输入,防止目录遍历攻击。禁止使用 ..、/、\ 等特殊字符。
    3、使用白名单策略:只允许符合安全规则的文件类型和格式被删除,限制文件扩展名。
    4、权限控制:设置文件和目录的访问权限,确保只有授权用户可以进行删除操作。

安全代码