如何避免JAVA中不安全的活页夹配置

最新推荐文章于 2023-03-15 21:30:40 发布
最新推荐文章于 2023-03-15 21:30:40 发布
阅读量663 收藏 2
点赞数
文章标签: java 运维

What is API ABUSE? 😥

API是调用方和被调用方之间的合同。 API滥用的最常见形式是由调用者未能履行其合同的终止引起的。 例如,如果程序在调用chroot()之后未能调用chdir(),则它违反了指定如何以安全方式更改活动根目录的约定。 图书馆滥用的另一个很好的例子是期望被调用者将可信赖的DNS信息返回给调用者。 在这种情况下,调用者通过对其行为做出某些假设(返回值可用于身份验证目的)来滥用被调用者API。 一个人也可以从另一方违反主叫方合同。 例如,如果编码器将SecureRandom子类化并返回非随机值,则违反合同。

Abstract 🙄

尚未将用于将HTTP请求参数绑定到模型类的框架绑定程序明确配置为允许或禁止某些属性

Explanation 🤓

为了简化开发并提高生产率,大多数现代框架都允许对象自动实例化并使用其名称与要绑定的类的属性匹配的HTTP请求参数进行填充。 自动实例化和对象填充可以加快开发速度,但是如果不谨慎执行就会导致严重的问题。

绑定类或嵌套类中的任何属性都将自动绑定到HTTP请求参数。 因此,即使恶意用户没有通过Web表单或API合同向客户公开,恶意用户也将能够为绑定或嵌套类中的任何属性分配值。

The vulnerability 😩 

public class MyClasss implements Serializable {
  // some logic
}

The solution 😊

Jackson提供了可以在类级别使用的注释(JsonIgnoreProperties)。

如此简单,只需添加@JsonIgnoreProperties(ignoreUnknown = true)上课之前。

将以下内容添加到类的顶部(而不是单个方法): 

@JsonIgnoreProperties(ignoreUnknown = true)
public class MyClasss implements Serializable {
  // some logic
}

👋

from: https://dev.to//wakeupmh/how-to-avoid-insecure-binder-configuration-in-java-2m7d

cunxiedian8614
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringMVC Controller接收参数总结
Heacewalker
01-15 8678
在这一篇文章,总结SprinMVCController接收ajax请求,所能支持的参数
java.mysql.spring.springmvc.springboot.springcloud.Redis.MQ.JVM.git.shiro高频面试题及答案
i_am_xiaobai的博客
05-18 3408
java.mysql.spring.springmvc.springboot.springcloud.Redis.MQ.JVM.git.shiro高频面试题及答案
java jmx agent不安全配置漏洞
weixin_51378457的博客
03-15 4488
APP应该以明示或自愿同意的方式告知用户其需要收集的信息型、范围、目的、使用方法、储存期限、安全保护措施等信息,并在获得用户授权前明确告知用户数据是否会分享、转让等情况。在搜集用户信息时,需明确具体收集哪些信息,以及收集的目的和用途等。APP应该尊重用户的知情权、选择权、访问权、更正权、删除权、注销权等权益,让用户能够随时查看自己的信息,可以对其进行更正、删除等操作。APP应该合法、公正地收集个人信息,包括在合法法律、法规、规章、标准规定范围内的行为,如经过用户授权同意,且该同意为自愿行为等。
绑定敏感字段
wusongsong95的博客
06-11 4350
目前大部分WEB框架支持将HTTP请求参数属性相匹配的而生成一个对象。因此,攻击者能够将值放入HTTP请求参数从而绑定系统对象。 例如:在以下代码片段, Spring MVC可以将 HTTP请求参数绑定到 User属性: @RequestMapping("/login" ) public String login(User user) { ... } 其,User 定义为: public class User { private String username;
springMVC-数据绑定
azjnf1847的博客
05-25 80
定义: 将http请求参数绑定到Handler业务方法 常用数据绑定型 1、 基本数据型 不能为其它型和null值 2、 包装 可以为其它对象,全部转成null值 3、 数组 多个对象自动绑定为数组 4、 对象 可以包含多个对象 5、 集合(List、Set、Map) 创建包装,数据自动加载到包装 List、Set:为了指定...
java jmx agent不安全配置漏洞.md
09-16
java jmx agent不安全配置漏洞
java jmx agent不安全配置漏洞如何改进(由浅入深代码范例和详细说明).docx
06-16
java jmx agent不安全配置漏洞如何改进(由浅入深代码范例和详细说明).docx
java jdk 8 帮助文档 文 文档 chm 谷歌翻译
04-02
JDK1.8 API 文谷歌翻译版 java帮助文档 JDK API java 帮助文档 谷歌翻译 JDK1.8 API 文 谷歌翻译版 java帮助文档 Java最新帮助文档 本帮助文档是使用谷歌翻译,非人工翻译。准确性不能保证,请与英文版配合使用 ...
活页夹
02-17
活页夹
Spring 数据绑定 @RequestParam @ModelAttribute
u010023409的博客
08-18 1966
转载于:http://blog.sina.com.cn/s/blog_a85398ce0101feek.html 作者 : 余不死1990 到目前为止,请求已经能交给处理器进行处理了,接下来的事情是要进行收集数据啦,接下来我们看看能从请求收集到哪些数据,如图 说明 1、@RequestParam绑定单个请求参数值; 2、@PathVariable绑定URI模板变量值;
【SpringMVC学习05】SpringMVC参数绑定总结
武哥聊编程
06-21 5万+
众所周知,springmvc是用来处理页面的一些请求,然后将数据再通过视图返回给用户的,前面的几篇博文使用的都是静态数据,为了能快速入门springmvc,在这一篇博文,我将总结一下springmvc如何接收前台页面的参数,即springmvc参数绑定问题。1. 参数绑定的过程我们可以回忆一下,在struts2,是通过在Action定义一个成员变量来接收前台传进来的参数,而在sprin
springmvc的controller的几种参数绑定
life
04-24 2万+
首先呢是springMVC默认支持的绑定型有: HttpServletReequest对象:通过request对象可以获取参数信息 HttpservletResponse对象:通过response对象可以处理响应信息 HTTPSession对象:获取session存储的对象 Model/ModelMap:Model是一个接口,ModelMap是一个接口的实现。作用是将模型数据填充到re
SpringMVC映射请求参数的方式(参数绑定方式)
Alan_Xiang的博客
11-06 1万+
SpringMVC通过分析处理方法的签名,可以将HTTP请求信息绑定到处理方法的相应参数。使用@RequestParam绑定请求参数值  在处理方法参数处使用@RequestParam可以把请求参数传递给请求方法,其: – value:请求参数参数名 – required:该参数是否必须,默认为true, – defaultValue:请求参数的默认值,表示请求参数必须包含对应的参数
2023最新Web前端经典面试试题及答案-史上最全前端面试题(含答案)
热门推荐
xm1037782843的博客
06-15 56万+
2023前端最新最全面试题 javascript面试题 vue面试题 最新的全套面试题 附带答案
Spring官方文档翻译
博客
11-26 3171
一、Spring框架概述 Spring框架是一个轻量级的解决方案,可以一站式地构建企业级应用。Spring是模块化的,所以可以只使用其需要的部分。可以在任何web框架上使用控制反转(IoC),也可以只使用Hibernate集成代码或JDBC抽象层。它支持声明式事务管理、通过RMI或web服务实现远程访问,并可以使用多种方式持久化数据。它提供了功能全面的MVC框架,可以透明地集成AOP到软件
Web API学习笔记(九)——模型绑定(Model Binder)
weixin_45724919的博客
10-21 1230
Http请求数据绑定到应用控制器属性参数到过程称为模型绑定·模型绑定器有许多内置的方法和属性·我们也可以自定义模型绑定器。
java配置selenium
最新发布
10-18
Java配置Selenium需要以下步骤: 1. 下载Selenium Java客户端驱动:可以从Selenium官网下载最新版本的Java客户端驱动,也可以使用Maven或Gradle等构建工具来自动下载。 2. 配置Java开发环境:需要安装Java开发环境,并配置好环境变量。 3. 导入Selenium Java客户端驱动:将下载的Selenium Java客户端驱动导入到Java项目。 4. 编写测试代码:使用Java编写测试代码,调用Selenium API来实现自动化测试。 以下是一个简单的示例代码: ```java import org.openqa.selenium.WebDriver; import org.openqa.selenium.chrome.ChromeDriver; public class SeleniumTest { public static void main(String[] args) { // 设置Chrome浏览器驱动路径 System.setProperty("webdriver.chrome.driver", "path/to/chromedriver"); // 创建Chrome浏览器驱动实例 WebDriver driver = new ChromeDriver(); // 打开百度首页 driver.get("https://www.baidu.com"); // 关闭浏览器 driver.quit(); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值