Sonarqube Java Path Traversal Attack ⇐ JAVA

[Anonymous]

У меня есть какой -то метод удаления файлов. Я использую Sonarqube для статического анализа моего кода. < /P>

Код метода: < /p>

private static void removeFile(MyClass someValue) {
Path filePath = Paths.get(someValue.getRootFolderPath(), someValue.getRelativePath());

if (!Files.exists(filePath)) {
LOG.warn("File does not exist", filePath.toAbsolutePath().toString());
return;
}

try {
Files.delete(filePath.getFileName());
LOG.debug("File " + someValue.getRelativePath() + " was deleted");
} catch (Exception e) {
String excMessage = "some info";
LOG.warn(excMessage, e);
}
}
< /code>

sonar говорит: < /p>


java /nio /file /paths.get ( Ljava/lang/string; [ljava/lang/string;) ljava/nio/file/path;
считывает файл /> < /blockquote>

Я добавил вызов normalize < /em> для предотвращения атаки прохождения пути. < /p>

Path filePath = Paths.get(someValue.getRootFolderPath(), someValue.getRelativePath()).normalize();
< /code>

Но сонар все еще говорит мне о потенциальном уязвимости прохождения пути. < /p>

Я делаю что -то не так, или есть лучшее решение для предотвращения такого типа атак, которые будут подходить сонар? < /p>

Upd < /strong>:
попробовал много способов решения этой проблемы, и все они неверны при статическом анализе. < /p>

Уязвимый код:

Path filePath = Paths.get(FilenameUtils.getName(someValue.getFileName()));
Path filePath = Paths.get("some/path", FilenameUtils.getName(someValue.getFileName()));
Path filePath = Paths.get("some/path", FilenameUtils.getName(fileName));
Path filePath = Paths.get(FilenameUtils.getName(fileName));
File file = new File(someValue.getRootFolderPath(), someValue.getRelativePath());
File file = new File(someValue.getRootFolderPath(), FilenameUtils.getName(someValue.getFileName()));
File file = new File(FilenameUtils.getPath(someValue.getRootFolderPath()), FilenameUtils.getName(someValue.getFileName()));
File file = new File("some/path", FilenameUtils.getName(fileName));
File file = new File(FilenameUtils.getName(fileName));
File file = new File(FilenameUtils.getName("bla-bla-bla"));


Подробнее здесь: https://stackoverflow.com/questions/492 ... sal-attack