SV.PATH.INJ

当未经验证的用户数据用作所创建或写入的文件名的一部分时，便会出现此错误。

漏洞与风险

连同数据注入，此情况可允许数据注入任意文件，例如 /etc/passwd。文件注入本身可用于创建文件和目录，在未来攻击中，攻击者选择的名称可用于这些文件和目录。例如，攻击者可强制应用程序在全局可读的位置创建一个包含敏感信息的文件。

Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用；这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源，因为用户可能是攻击者，或者可能引入人为错误。

缓解与预防

针对允许的词汇值和大小验证所有用户数据。例如，如果用户名必须为目录结构的一部分，针对字母数字字符大小和内容检查这些用户名。

示例 1

16
17
18
19
20
21
22
23
24
25
26
     protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
         String name = req.getParameter("userName");
         File userDir = new File("userFiles", name);
         File profile = new File(userDir, "profile");
         FileOutputStream stream = new FileOutputStream(profile);
         try {
             createFileWithSensitiveInformation(stream);
         } finally {
             stream.close();
         }
     }

针对第 20 行报告 SV.PATH.INJ：“name”包含来自 HTTP 请求参数的数据，因此可能已被污染（第 17 行）。此值用于在第 19 行创建文件 profile，该文件在第 20 行用于创建 FileOutputStream。这可用于将信息注入服务器文件系统中的任意文件。

外部指导

• CERT IDS00-J：防止 SQL 注入
• CWE-22：错误地将路径名限制到受限目录（“路径遍历”）
• OWASP A1:2017 注入
• STIG-ID：APP3570 易受命令注入影响的应用程序

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 路径遍历培训视频 - 用培训示例来检验您的技能

扩展

此检查器可通过 Klocwork 知识库进行扩展。有关详情，请参阅调整 Java 分析。