Comment réaliser et détecter les attaques de Path Injection

Avant que rien, je ne sois spécialiste du sujet, j'apprends et je découvre l'utilisation des outils d'IA.

C'est ce que je dis... Vous avez réalisé un projet pour un ami, vous avez un PDF avec 100 heures, avec des registres de transactions bancaires. Vous devez les enregistrer dans un Excel pour pouvoir procéder ensuite.

Avec l'utilisation du copilote Github, réalisez un script pour l'extraction de données en utilisant Python et quelques bibliothèques... Très doritos après... Et comme un système d'exploitation et de ceno, placez un serveur flask, pour servir le script en atravez un endpoint en un front avec html, css et js pur et dur.

Au cours du processus d'interaction avec Copilot, j'ai reçu une alerte selon laquelle une partie du code présente une vulnérabilité du type "injection de chemin". Bastante interesante esta alerta :D

Et comme je suis en train d'étudier la sécurité informatique, je suis blogué pour vous inscrire à ce voyage...

C'est là qu'il faut s'occuper de l'IA.

Un attaquant pourrait exploiter une vulnérabilité d'injection de chemin en manipulant l'entrée de l'utilisateur pour accéder aux archives ou aux répertoires non autorisés dans le système d'archives du serveur. Voici un exemple de comment je pourrais le faire :

Exemple de Path Injection

Nous supposons que vous avez une route vers votre application Flask qui permet aux utilisateurs de subir des archives et de les sauvegarder sur le serveur. Si vous ne validez pas ou ne désinfectez pas le nom du fichier, un agent peut envoyer un nom de fichier malveillant pour tenter d'accéder aux fichiers sensibles du système.

Code vulnérable