问如何修复CWE 73文件名或路径的外部控制

EN

有几种解决办法：

1. 使用白名单验证，但是使用入口点的输入，正如我们在“使用硬编码值列表”中提到的那样。
2. 使用简单的正则表达式白名单进行验证
3. 引导输入并验证路径

我使用了第一个和第二个解决方案，并且工作得很好。

更多信息请访问：https://community.veracode.com/s/article/how-do-i-fix-cwe-73-external-control-of-file-name-or-path-in-java

这文档提供了建议补救任何显式自定义解决方案的详细信息。在我的例子中，我尝试在提供的方法参数中添加白名单或黑名单模式，但是仍然没有解决CWE-73风险。我认为这是意料之中的，而这份文件的确是这样说的：

静态引擎所能检测到的东西是有限的。它只能扫描您的代码，它不会实际运行您的代码(不像动态扫描)。因此，它不会进行任何自定义验证(如果条件、正则表达式等)。但这并不意味着这不是一个完全有效的解决方案，以消除风险！

我尝试了我的基于自定义黑名单模式的解决方案，并用FilePathCleanser注释了这里中的方法，它解决了CWE-73和veracode不再显示为一种风险。

尝试使用推荐的OWASP ESAPI Validator方法验证此支柱字符串，如下所示。

示例：

String PropParam= ESAPI.validator().getValidInput("",System.getProperty("PROP", ""),"FileRegex",false);

FileRegex是一个正则表达式，用于验证支持字符串，即文件的路径。

在FileRegex = ^(.+)\/([^\/]+)$中定义Validator.properties。