繼續對Fortify的漏洞進行總結，本篇主要針對 Path Manipulation（路徑篡改）的漏洞進行總結，如下：

1、Path Manipulation（路徑篡改）                        

1.1、產生原因：

當滿足以下兩個條件時，就會產生 path manipulation 錯誤：

1. 攻擊者可以指定某一檔案系統操作中所使用的路徑。

2. 攻擊者可以通過指定特定資源來獲取某種許可權，而這種許可權在一般情況下是不可能獲得的。

例如，在某一程式中，攻擊者可以獲得特定的許可權，以重寫指定的檔案或是在其控制的配置環境下執行程式。

例 1： 下面的程式碼使用來自於 HTTP 請求的輸入來建立一個檔名。程式設計師沒有考慮到攻擊者可能使用像“../../

String rName = request.getParameter("reportName");

File rFile = new File("/usr/local/apfr/reports/" + rName);

...

rFile.delete()

例 2： 下面的程式碼使用來自於配置檔案的輸入來決定開啟哪個檔案，並返回給使用者。如果程式在一定的許可權下執行，且惡意使用者能夠篡改配置檔案，那麼他們可以通過程式讀取系統中以 .txt 副檔名結尾的所有檔案。

fis = new FileInputStream(cfg.getProperty("sub")

1.2、修復方案：

方案一：建立一份合法資源名的列表，並且規定使用者只能選擇其中的檔名。通過這種方法，使用者就不能直接由自己來指定資源的名稱了。 

但在某些情況下，這種方法並不可行，因為這樣一份合法資源名的列表過於龐大、難以跟蹤。因此，程式設計師通常在這種情況下采用方案二，黑名單+白名單 雙重過濾路徑的辦法。

方案二：在輸入之前，黑名單會有選擇地拒絕或避免潛在的危險字元（例如下面例子過濾了..字元）。同時建立一份白名單，允許其中的字元出現在資源名稱中，且只接受完全由這些被認可的字元組成的輸入。

 圖1.2.1：合法路徑的白名單字元

圖1.2.2：過濾路徑的非法字元公共方法