路径操作（安全漏洞）

如果数据总是从由用户确定内容的文本框中获取，并且代码使用该用户的权限运行，则唯一的威胁是用户攻击自己。这不是一个有趣的威胁。
该工具试图警告您的漏洞是，如果低信任恶意代码可以确定该字符串的内容，则恶意代码可以尝试发现关于用户计算机的事实，例如“我恰好知道有安全漏洞的某个程序是否已安装和未修补？”或“此计算机上是否有名为'admin'的用户？”，等等。

您永远不应该直接将任何内容馈送到未经过滤的操作系统API中。您应该对输入进行清理，确保它不包含路径（例如"../../../somefile"），并确保截断长名称，并仅包含有效的文件名字符（例如，与国际字符相关的各种错误已经存在）。

使用该代码，任何已经通过身份验证和授权使用该功能的用户都可以访问服务器上的文件系统。访问将使用运行Web应用程序的服务帐户的凭据进行。

根据返回的数据如何使用，恶意用户可能能够获取更多信息或使服务器以不预期的方式运行。

您应该将允许的路径集限制为仅包含一个或少数精选目录。使用Path类中的函数将字符串组合成路径-它们会处理用户为您输入c:\allowedpath\..\windows\system32等情况。

这种情况需要进行编码和解码，以确保数据在任何地方都没有被篡改。因为如果在解密过程中数据被更改，你将得到错误的结果。
你可以创建自己的编码和解码方式。我使用了System.Security.Cryptography提供的RijndaelManaged和PasswordDeriveBytes类来实现。