特约机发布APP提示有风险,无法上线
hansen
- 发布:2021-07-07 17:09
- 更新:2021-07-07 17:15
- 阅读:438
产品分类: uniapp/App
PC开发环境操作系统: Windows
PC开发环境操作系统版本号: windows10
HBuilderX类型: 正式
HBuilderX版本号: 3.1.18
手机系统: Android
手机系统版本号: Android 7.1.1
手机厂商: 商米T2
手机机型: 收音机
页面类型: vue
打包方式: 云端
项目创建方式: HBuilderX
操作步骤:
预期结果:
不知道unzip使用中有没有安全机制?
不知道unzip使用中有没有安全机制?
实际结果:
目前来看很难找到对应的安全问题,也不知道该怎么解决,项目就要上线了,急急急!!!
目前来看很难找到对应的安全问题,也不知道该怎么解决,项目就要上线了,急急急!!!
bug描述:
云打包发布的时候被驳回,说有安全漏洞,跟读取文件路径有关。项目着急上线,麻烦官方速回复,谢谢了!!!
反馈的问题如下:
*unzip解压路径穿越:中危
扫描内容:对文件进行zip解压时,是否路径可被控制,用来读取任意文件 漏洞危害:进行zip解压时,若包名或包中文件名可以被控制,则攻击者可以将文件名设置为"../"的形式,控制最终读取或覆盖的文件,从而让业务加载恶意代码。
安全方案:
(1)使用安全提供的统一过滤方法: private static boolean isSafeEntryName(String path) { if (!path.contains(FILE_PATH_ENTRY_BACK) && !path.contains(FILE_PATH_ENTRY_SEPARATOR2)) { return true; } return false; } public static final String FILE_PATH_ENTRY_BACK = ".."; public static final String FILE_PATH_ENTRY_SEPARATOR1 = "\"; public static final String FILE_PATH_ENTRY_SEPARATOR2 = "%";
(2)对ZipEntry.getName/ZipFile.getName等获得的文件名,进行路径检查及"../"的过滤*
unzip是干嘛用的,有相关安全机制吗?
DCloud_Android_ST
收到 我们会尽快安排处理
2021-07-07 18:44
hansen (作者)
回复 DCloud_Android_ST: 大佬,我这边收到平台反馈只要增加个安全判断就可以了,请问这个大概多久可以更新呢
2021-07-08 11:09
DCloud_Android_ST
回复 hansen: hx3.1.22试下
2021-07-08 11:10
hansen (作者)
回复 DCloud_Android_ST: 我这边上线卡住了,请问大佬能否尽快更新呢,或者给个大概时间呢?
2021-07-08 11:11
hansen (作者)
回复 DCloud_Android_ST: 好的
2021-07-08 11:11
hansen (作者)
回复 DCloud_Android_ST: 大佬,我用3.12版本打包的提交审核还是一样反馈这个安全问题不能通过,可以帮忙再看看吗,真心是有点急急急!
2021-07-08 14:47
DCloud_Android_ST
回复 hansen: 要用3.1.22版本
2021-07-08 14:52
hansen (作者)
回复 DCloud_Android_ST: 我在历史版本只看到3.1.2 和 3.1.12的 没看到3.1.22版本呢,可以加QQ吗 840399345 这样好沟通些,或者您把这个版本发给我呗
2021-07-08 15:03
DCloud_Android_ST
回复 hansen: https://www.dcloud.io/hbuilderx.html 下载alpha 3.1.22
2021-07-08 15:06
hansen (作者)
回复 DCloud_Android_ST: 好的,看到了,谢谢,我重新打包提交试试 ❤❤❤
2021-07-08 15:10
hansen (作者)
回复 DCloud_Android_ST: 问题已解决,谢谢谢谢谢谢
2021-07-09 17:17