漏洞总结 漏洞概述 Hono 框架的 SSG (Static Site Generation) 模块存在路径遍历(Path Traversal)漏洞。攻击者可以通过构造包含 的路径,将文件写入到预期的输出目录(outDir)之外,可能导致敏感文件被覆盖或泄露。 影响范围 受影响的代码库为 ,具体涉及 目录下的文件,包括 和 。 修复方案 1. 新增校验函数:在 中新增 函数,用于检查文件路径是否在指定的输出目录内。如果路径包含 或不属于输出目录的子路径,则抛出 "Path traversal detected" 错误。 2. 集成校验逻辑:在 的 函数中调用 ,确保生成的文件路径安全。 3. 增加测试用例:在 中增加了针对路径遍历攻击的单元测试,验证系统是否能正确拒绝非法路径。 关键代码块 (POC/修复逻辑) 1. 修复逻辑 ( ) 2. 测试用例/POC ( )