【发布时间】:2015-12-15 22:44:34
【问题描述】:
我正在研究 Android 安全漏洞,由于使用的是 Java,因此语言中的攻击也需要解决。
我在this link学习。
我对 Linux 中的规范路径、绝对路径和相对路径有一个很好的了解。但是这个说法:
但是,用户仍然可以通过输入包含 ../ 序列的参数来指定预期目录之外的文件
我知道.. 指的是当前文件所在目录的父目录,但无法理解攻击者最终会如何使用.. 来制作不属于/img/ 的恶意文件路径目录(在文章中提到),仍然能够成功。我正在寻找任何可能利用此漏洞并通过安全检查的示例。任何帮助将不胜感激。
【问题讨论】:
标签: java android security canonicalization