Witam programistów. Mam problem w wdrażaniu aplikacji https://play.google.com/. Wrzuciłem swoją aplikacje i gdy zaczęli testować wyskoczyło mi parę błędów jeden z nich to ten:
Naprawianie luki w zabezpieczeniach przemierzania ścieżki zip
Te informacje są przeznaczone dla programistów, których aplikacje zawierają niebezpieczne wzorce rozpakowywania, które mogą potencjalnie prowadzić do ataku typu Zip Path Traversal. Lokalizacje klas aplikacji z lukami, które zawierają niebezpieczne wzorce rozpakowywania, można znaleźć w powiadomieniu Konsoli Play dotyczącym Twojej aplikacji.
Dodatkowe Szczegóły
Pliki ZIP mogą zawierać wpis (plik lub katalog) ze znakami przejścia ścieżki („../”) w nazwie. Jeśli programiści rozpakują takie wpisy w plikach zip bez sprawdzania ich nazwy, może to potencjalnie spowodować atak polegający na przejściu ścieżki, prowadzący do zapisów w dowolnych katalogach, a nawet nadpisania plików w prywatnych folderach aplikacji.
Zalecamy naprawienie tego problemu w aplikacji przez sprawdzenie, czy ścieżki kanoniczne do rozpakowanych plików znajdują się pod oczekiwanym katalogiem. W szczególności, przed użyciem pliku obiektu utworzonego przy użyciu wartości zwracanej ZipEntry „s getName () metody, należy sprawdzić, czy wartość zwracana File.GetCanonicalPath () należy do zamierzonego toru katalogów. Na przykład:
InputStream is = new InputStream(untrustedFileName);
ZipInputStream zis = new ZipInputStream(new BufferedInputStream(is));
while((ZipEntry ze = zis.getNextEntry()) != null) {
File f = new File(DIR, ze.getName());
String canonicalPath = f.getCanonicalPath();
if (!canonicalPath.startsWith(DIR)) {
// SecurityException
}
// Finish unzipping…
}
Następne kroki
Zaktualizuj swoją aplikację, wykonując opisane powyżej czynności.
Zaloguj się do Konsoli Play i prześlij zaktualizowaną wersję swojej aplikacji.
Twoja aplikacja zostanie ponownie sprawdzona; jeśli aplikacja nie została poprawnie zaktualizowana, nadal będzie wyświetlane ostrzeżenie. Ten proces może zająć kilka godzin.
Jesteśmy tutaj, aby pomóc
Jeśli masz pytania techniczne dotyczące tej luki, możesz opublikować je w witrynie Stack Overflow i użyć tagu „android-security”.
Nie wiem co teraz mam zrobić i gdzie ten link dodac i jak to zrobić . Zielony jestem. Może mi ktoś w tym pomoc ?