Przegląd bezpieczeństwa Fortify poinformował nas o lukach w manipulowaniu ścieżkami. Większość z nich była łatwa i łatwa, ale nie rozumiem, jak naprawić następującą.Manipulacja ścieżką (luka w zabezpieczeniach)
string[] wsdlFiles = System.IO.Directory.GetFiles(wsdlPath, "*.wsdl");
"wsdlPath" jest wprowadzane z pola tekstowego. Czy to coś, czego po prostu nie da się naprawić? Potrafię potwierdzić, że ścieżka istnieje itp., Ale w jaki sposób pomaga to w usuwaniu luk?
Jak działa ten kod? Jeśli jest to aplikacja Windows, która działa z poświadczeniami użytkownika wprowadzającego 'wsdlPath', nie widzę niczego złego. Jeśli działa w usłudze systemu Windows lub jako część witryny sieci Web, jest to problem. –
Czy przegląd Fortify zawiera wstrzyknięty ciąg? – Tung
@AndersAbel - aplikacja internetowa. uwierzytelniony użytkownik wprowadza ścieżkę, a jeśli jest to poprawna ścieżka, to jest akceptowana. – Induster