fortify가 준 경로 조작 오류를 수정하는 방법은 무엇입니까?

Question

I have path Manipulation problem in addAttachment. 

ByteArrayOutputStream baos = new ByteArrayOutputStream(); 
hssWorkBook.write(baos); 
byte[] bytes = baos.toByteArray(); 
DataSource ds = new ByteArrayDataSource(bytes, "application/excel"); 
helper.addAttachment("XYZ information - "+XYZ+".xls", ds); 
helper.setText(text.toString(), true); 

이미 작성된 통합 문서에서 xls를 첨부 파일로 추가하려하지만 Fortify가 addAttachment에서 경로 조작 오류를 제공하고 있습니다. 어떻게이 문제를 해결할 수 있습니까?

Answer 1

변수 XYZ은 어디에서 왔습니까?

Fortify는이 변수가 신뢰할 수 없거나 유효성이 확인되지 않은 데이터로부터 전체 또는 부분적으로 구성되었다고 생각합니다.

일부 유효성 검사를 수행하고 있습니까? 신뢰할 수없는 출처에서 왔습니까 (모든 하드 코드되지 않은 값은 엄격한 보안 상 신뢰할 수없는 것으로 간주됩니다).

OWASP's Path Traversal page을 살펴보십시오.