Una revisión de seguridad de Fortify nos informó de algunas vulnerabilidades de manipulación de rutas. La mayoría han sido soluciones obvias y fáciles, pero no entiendo cómo solucionar la siguiente.Manipulación de rutas (vulnerabilidad de seguridad)
string[] wsdlFiles = System.IO.Directory.GetFiles(wsdlPath, "*.wsdl");
"wsdlPath" es la entrada de un cuadro de texto. ¿Es esto algo que simplemente no se puede arreglar? Puedo validar que la ruta existe, etc. pero ¿cómo ayuda eso a la vulnerabilidad?
¿Cómo se ejecuta ese código? Si se trata de una aplicación de Windows que se ejecuta con las credenciales del usuario que ingresa el 'wsdlPath', no veo nada incorrecto. Si se ejecuta en un servicio de Windows o como parte de un sitio web, es un problema. –
¿La revisión Fortify proporcionó la cadena inyectada? – Tung
@AndersAbel - aplicación web. un usuario autenticado ingresa a la ruta, y si es una ruta válida, entonces es aceptada. – Induster