解压zip文件可导致目录遍历漏洞修复

解压zip文件可导致目录遍历漏洞修复

问题描述：

应用上架安全检测报错，应用程序内含解压模式不安全，可能导致Path Traversal

问题原因：

这里的恶意漏洞的问题就在于：因为ZipEntry在进行压缩文件的时候，名称没有做任何限制，而在Android系统中../这种特殊符号代表的是回到上层目录，又因为这个解压工作在本应用中，可以借助app的自生权限，把恶意文件名改成：../../../data/data/...即可在解压的时候把文件解压到了应用的沙盒中。

解决方法：

当App中使用zipInputStream类对zip压缩包进行解压操作时，在Name()获取文件名后，必须添加过滤代码对文件名中可能包含的“../”进行过滤判断，即：文件名称不能包含"../"这种特殊字符。

while(( zipEntry = NextEntry()) != null ){String entryName = Name();ains("../")){continue;// 或者// throw new Exception("发现不安全的zip文件解压路径！")}...
}

getCanonicalPath()：此路径方法返回绝对唯一的标准规范路径名。此方法首先将此路径名转换为绝对形式，就像调用getAbsolutePath方法一样，然后以系统相关的方式将其映射到其唯一路径上。也就是说如果路径中包含“.”或“..”等当前路径及上层路径表示法，则会从路径名中删除“.”和“..”使用真实路径代替。

使用此方法对输入路径进行转换。

附路径检查方法：

下面的正则表达式可过滤../和其他字符

/*** 路径遍历漏洞修复* @param filepath 路径* @return 安全路径*/public static String pathFilter(String filepath){Pattern filePattern = Patternpile("\.{2}\/|[\s:?<>|]");//过滤../和其他字符return filepath == null ? null : filePattern.matcher(filepath).replaceAll("");}