Исправить PathTraversal, найденный в Инструменте AppScan

Question

Я запустил инструмент IBM AppScan для источника java. Он перечислил несколько выводов в разделе «PathTraversal - Promote to Vulnerability» на строке «pageFile = новый файл (имя_файла);». Могу ли я узнать, какое решение это исправить?

package mig; 

import java.io.File; 
import java.io.FileInputStream; 
import java.io.FileOutputStream; 
import java.io.IOException; 
import java.nio.channels.FileChannel; 

import mig.one.GenConstants; 
import mig.one.GenInit; 
import mig.one.GenException; 
import mig.one.GenExpConstants; 
import mig.one.GenLogger; 

public class Generate { 

    private static final String EVENT_TYPE ="EXTENSION_XML"; 

    private static GenLogger logger = GenLogger.getLogger(); 

    public static void main(String[] args) throws GenException { 

     GenInit genMigration = new GenInit(args); 
     genMigration.parseArguments(args); 

     File pageFile=null; 
     String fileName = null; 

     try{ 
      if(args[1].equalsIgnoreCase("-f")){ 

       fileName = GenConstants.MAP_FILE; 
       logger.logDebug(EVENT_TYPE, "Menu Map File name ::"+ fileName); 

       pageFile = new File(fileName); 
       } 
      } 
      catch(GenException ume) { 

      logger.logError(EVENT_TYPE, ume.getMessage(),ume); 
      throw ume; 
      } catch(Throwable th) { 

      logger.logError(EVENT_TYPE, th.getMessage(), th); 
      throw new GenException(GenExpConstants.EM_UNKNOWN, new String[]{th.getMessage()},th); 
      } finally { 
      logger.logDebug(EVENT_TYPE, "####################################################\n"); 
      } 
    } 
} 

В приведенном выше коде GenConstants.MAP_FILE = System.getProperty ("user.dir") + File.separator + "file.cfg";

Answer 1

Вам необходимо будет проверить данные трассировки для этого поиска. Основываясь на вашем обновлении, я считаю, что taint исходит от свойства user.dir и что это значение не подвергается дезинфекции.