Absolute Path Traversal 错误解决

Absolute Path Traversal (APT) 是一种常见的安全漏洞，攻击者可以通过该漏洞访问应用程序的文件系统中的文件，

包括敏感信息，从而可能导致应用程序遭受攻击。

一、使用专门的文件访问库，例如 Apache Commons IO 库中的 FileUtils 类

1. File文件修改

maven引入包

<dependency>
    <groupId>commons-io</groupId>
    <artifactId>commons-io</groupId>
    <version>2.4</version>
</dependency>

File、FileInputStream 和 FileOutputStream 文件修改

import org.apache.commons.io.FileUtils;

File file = new File("xxx/xx/test.txt");
FileInputStream input = new FileInputStream(file);
FileOutputStream output = new FileOutputStream(file);

// TODO 改为 
File file = FileUtils.getFile("xxx/xx/test.txt");
FileInputStream input = FileUtils.openInputStream(file);
FileOutputStream output = FileUtils.openOutputStream(file);

二、使用 Java 7 或更高版本中提供的 Path 和 Files 类，它们提供了更加安全的文件访问方法。

2. BufferReader 和 BufferWriter修改

import java.nio.file.Files;
import java.nio.file.Path;
import java.nio.file.Paths;

BufferReader reader =  new BufferReader(new File("path/to/text.txt"));
BufferWriter writer = new BufferWriter(new File("path/to/text.txt"));
// TODO 改为
Path readerPath = Paths.get("path/to/text.txt");
BufferReader  = Files.newBufferedReader(readerPath);
Path writerPath = Paths.get("path/to/text.txt");
BufferWriter  = Files.newBufferedWriter(writerPath);

3.FileReader 和 FileWriter修改

FileReader reader = new FileReader(new File("path/to/text.txt"));
Filewriter Writer= new FileWriter(new File("path/to/text.txt"));
// TODO 改为
Path readerPath = Paths.get("path/to/text.txt");
FileReader reader = new FileReader(readerPath.toFile());
Path writerPath = Paths.get("path/to/text.txt");
Filewriter Writer= new FileWriter(writerPath.toFile());

二、白名单法

以下是使用 Java 的文件输入流和输出流的代码示例，使用白名单检查文件路径是否合法，防止 APT 漏洞：

import java.io.*;
import java.util.ArrayList;
import java.util.List;

public class APTExample {
    private static final List<String> ALLOWED_PATHS = new ArrayList<>();

    static {
        // 添加允许访问的路径
        ALLOWED_PATHS.add("/path/to/allowed/folder");
        ALLOWED_PATHS.add("/path/to/another/allowed/folder");
    }

    public static void main(String[] args) {
        // 定义文件路径
        String filePath = "/path/to/forbidden/folder/file.txt";

        // 检查文件路径是否在允许的范围内
        if (!isPathAllowed(filePath)) {
            throw new SecurityException("文件路径不合法");
        }

        try (FileInputStream fis = new FileInputStream(filePath);
             FileOutputStream fos = new FileOutputStream("/path/to/destination/folder/newfile.txt")) {

            // 读取并写入文件
            byte[] buffer = new byte[1024];
            int bytesRead;
            while ((bytesRead = fis.read(buffer)) != -1) {
                fos.write(buffer, 0, bytesRead);
            }
        } catch (IOException e) {
            // 处理异常
            e.printStackTrace();
        }
    }

    private static boolean isPathAllowed(String path) {
        // 检查文件路径是否在允许的范围内
        for (String allowedPath : ALLOWED_PATHS) {
            if (path.startsWith(allowedPath)) {
                return true;
            }
        }
        return false;
    }
}

在上面的示例中，ALLOWED_PATHS 列表包含允许访问的文件路径，isPathAllowed() 方法检查给定的文件路径是否在允许的范围内，如果不在范围内，则抛出一个 SecurityException。

在 main() 方法中，检查给定的文件路径是否允许访问，如果通过检查，则使用 FileInputStream 读取文件，并使用 FileOutputStream 写入文件。

例如使用安全的 API，如 Java 的 java.nio.file 包。