我在asp.net有一个应用程序,它使用Veracode扫描来检测应用程序中的任何安全缺陷。当扫描我的一个功能时,显示以下错误“文件名或路径的外部控制”。有人知道如何修复此错误吗?
示例代码:
if (!Directory.Exists(fullPath))
Directory.CreateDirectory(fullPath);
我已经尝试验证无效字符的fullPath参数,参见下面的url。但是问题仍然存在。有人能帮我解决这个问题吗?谢谢。
http://www.howtoasp.net/asp-net-security-tutorials/how-to-control-path-composition-to-protect-asp-net-web-application-from-directory-traversal-vulnerability-in-c/
这主要是因为文件路径、文件流或流写入器。确保您使用输入验证路径。Veracode认为黑客可以添加路径,例如windows/重要文件,并会尝试访问该文件夹。
如果您没有使用输入验证您的路径,则此缺陷可能会出现在veracode中。
有关更多信息,请参阅链接。Veracode目录遍历问题c#
