Как исправить ошибку Manipulation пути, данную fortify?

Question

I have path Manipulation problem in addAttachment. 

ByteArrayOutputStream baos = new ByteArrayOutputStream(); 
hssWorkBook.write(baos); 
byte[] bytes = baos.toByteArray(); 
DataSource ds = new ByteArrayDataSource(bytes, "application/excel"); 
helper.addAttachment("XYZ information - "+XYZ+".xls", ds); 
helper.setText(text.toString(), true); 

Iam пытается добавить xls в качестве вложения из уже созданной книги, но Fortify дает ошибку манипулирования по пути в addAttachment. Как я могу исправить эту проблему?

Answer 1

Где находится переменная XYZ в вашем примере?

Fortify считает, что эта переменная построена полностью или частично из ненадежных/неутвержденных данных.

Вы выполняете какую-либо форму проверки? Приходит ли он из ненадежного источника (все нежесткие значения считаются ненадежными в строго секретном смысле).

Посмотрите на OWASP's Path Traversal page.