SV.PATH

パスおよびファイル名の挿入

このエラーは、システムの操作やファイルの読み取り/作成を行うメソッドにおいて、ファイル名やパス名に未検証データまたは汚染データが直接使用されている状況を検出します。攻撃者がファイル区切り文字と相対パス名を使用して、アクセスを許可されていないファイルを読み取る可能性があります。

リリース 2023.2 の時点で、このチェッカーは Jakarta EE をサポートしています。

脆弱性とリスク

一般に、アプリケーション内でのホストシステム上のファイルのアクセスや作成は、セキュリティ上の懸念事項となります。実行に使用されるファイルまたはパス文字列の一部に未チェックのユーザー入力が使用される場合には、セキュリティ脆弱性があります。攻撃者がファイルやパスを操作して、ホストシステム上でデータの作成やアクセスを行う可能性があります。代表的な攻撃は、ファイル名を操作して、ホストシステムから /etc/passwd ファイルにアクセスするものです。一般に、パス挿入はホストサーバー上のファイルシステムのセキュリティに危険をもたらす可能性があります。

Klocwork セキュリティ脆弱性 (SV) チェッカーは、潜在的に危険なデータを生成する呼び出しを特定します。このような呼び出しは安全でないソースと考えられます。ユーザーは攻撃者になる可能性があり、ヒューマンエラーを取り込む可能性があるため、安全でないソースはユーザーが指定した任意のデータである可能性があります。

軽減と防止

ユーザー入力からのパス挿入攻撃は、アプリケーションの外部からのあらゆる入力 (ユーザー入力、ファイル入力、システムパラメーターなど) を検証することで防止できます。検証には、長さと内容を含める必要があります。通常、英数字文字 (A ～ Z、a ～ z、0 ～ 9) のみが必要とされます。受け取ったその他の文字はすべてエスケープする必要があります。この検証は、各パラメーターを HTTP 要求から読み取った場合などに、データのソースごとに実行する必要があります。

脆弱コード例 1

1
2
3
4
5
6
7
8
9
10
11
12
     import javax.servlet.http.*;
     public void processUserProfile(ServletRequest req) throws IOException {
         // Source of data from HTTP request in servlet
         String userName = req.getParameter("userName");
         String profile = profileDir + File.separator + userName;
         BufferedReader reader = new BufferedReader(new FileReader(profile));
         try {
             //...
         } finally {
             reader.close();
         }
     }

Klocwork は、6 行目で SV.PATH の欠陥を報告し、次を示します。'userName' には HTTP 要求パラメーターからのデータが含まれているため、汚染される可能性があります (5 行目)。この値は定数文字列と連結され、6 行目で 'profile' に保存されます。7 行目で、'profile' はローカルファイルシステム内のファイルにアクセスするために使用されます。ファイルおよびパス名は、重要な情報を開示するように操作されたり、アプリケーション動作の変更に使用される可能性があります。

脆弱コード例 2

1
2
3
4
5
6
7
8
9
10
11
12
     import jakarta.servlet.http.*;
     public void processUserProfile(ServletRequest req) throws IOException {
         // Source of data from HTTP request in servlet
         String userName = req.getParameter("userName");
         String profile = profileDir + File.separator + userName;
         BufferedReader reader = new BufferedReader(new FileReader(profile));
         try {
             //...
         } finally {
             reader.close();
         }
     }

Klocwork は、6 行目で SV.PATH の欠陥を報告し、次を示します。'userName' には HTTP 要求パラメーターからのデータが含まれているため、汚染される可能性があります (5 行目)。この値は定数文字列と連結され、6 行目で 'profile' に保存されます。7 行目で、'profile' はローカルファイルシステム内のファイルにアクセスするために使用されます。ファイルおよびパス名は、重要な情報を開示するように操作されたり、アプリケーション動作の変更に使用される可能性があります。

外部参考資料

• CERT FIO16-J: パス名を検証する前に正規化する
• CWE-22: 制限されたディレクトリへのパス名の不適切な規制 ('パストラバーサル')
• OWASP A5:2017 アクセス制御の不備
• STIG-ID:APP3080 無効な URL またはパス参照が見つかった
• STIG-ID:APP3570 コマンドインジェクションに影響を受けやすいアプリケーション

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Path Traversal (パストラバーサル)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます

拡張機能

このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。詳細については、Java 解析のチューニングを参照してください。