trust boundary violation

最新推荐文章于 2019-10-14 19:17:31 发布
最新推荐文章于 2019-10-14 19:17:31 发布
阅读量8.7k 收藏 1
点赞数
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guilanl/article/details/68064141
版权

这个violation 形成的原因,就是mix use trusted and untrusted data in the same data structure. 


14. Trust Boundary Violation

Description: Web applications often mistakenly mix trusted and untrusted data in the same data structures, leading to incidents where unvalidated/unfiltered data is trusted/used.

Fix / Recommendation: Proper input validation and output encoding should be used on data before moving it into trusted boundaries.

Sample Code Snippet:

String sessionPolicyId = request.getParameter("id");
if(sessionPolicyId.matches("[0-9a-zA-Z_]+") {
session.setAttribute("sessionPolicyId",sessionPolicyId);
}

例子里面,  sessionPolicyId 没有经过检验,直接传给session, 可能会带来security 的问题。



guilanl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【悟空云课堂】第三十九期:违反信任边界(CWE-501: Trust Boundary Violation
Tianqi_Wukong的博客
03-19 1579
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 什么是违反信任边界? 让数据从不受信任的一边移到受信任的一边却未经验证。 违反信任边界漏洞的构成条件有哪些? 当程序模糊了受信任和不受信任之间的界限时,就会发生信任边界冲突。 违反信任边界漏洞会造成哪些后果? 开发者更容易错误地相信那些未被验证的数据,导致未经验证的数据被攻击者利用.
Java编程安全漏洞之:不信任用户可控数据
weixin_34362790的博客
03-21 3827
2019独角兽企业重金招聘Python工程师标准>>> ...
java代码审计手书(四)
一个码农的笔记
11-29 7848
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 外部文件访问(Android) 漏洞特征:ANDROID_EXTERNAL_FILE_ACCESS 应用经常往外部存储上写数据(可能是SD卡),这个操作可能会有多个安全问题。首先应用可以可以通过READ_EXTERNAL_STORAGE 获取SD卡上存储的文件。而且如果数据中包含用户的敏感信息的话...
Find-Sec-Bugs 漏洞范例
热门推荐
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
Trust系统用户修改密码,提示有密码规则
congjian0578的博客
09-22 1526
root[/]# passwd pms Changing password for pms Last successful password change for pms: Thu Oct 6 08:10:59 2...
boundary数据解析
09-19
在本文中,我们将深入探讨boundary数据解析的原理,以及如何通过代码实现这一过程。 首先,理解“boundary”是什么至关重要。在多部分表单数据中,boundary是一个特殊的字符串,用于分割不同的数据部分。例如,当...
Boundary scan.pdf
04-02
Boundary
FindBoundaryEdges_boundary_
10-02
在图像处理领域,"FindBoundaryEdges_boundary_" 指的是寻找图像边缘或边界的过程,这是一个重要的计算机视觉任务。边缘检测是图像分析中的基础步骤,它有助于识别和理解图像中的对象和结构。在这个特定的场景中,...
dtl.rar_4k boundary
09-24
"dtl.rar_4k boundary"这个标题暗示了一个与内存分配相关的主题,具体是关于每个CPU日志缓冲区的大小,它需要确保不跨越4K的边界。描述中的“Firmware”指的是固件,即嵌入在硬件设备中的软件,它规定了这样的缓冲区...
boundary.zip_boundaries_trace boundary
07-15
在IT行业中,边界追踪(Boundary Tracing)是一种重要的算法技术,尤其在图形处理、计算机视觉和数据处理领域中有着广泛的应用。"boundary.zip_boundaries_trace boundary"这个标题可能指的是一个包含有关边界追踪...
python上传时包含boundary时的解决方法
09-17
`boundary`是一个字符串,用于在请求体中区分不同的部分,确保服务器能够正确解析各个字段。 `requests`库是Python中最常用的HTTP客户端库,它支持处理`multipart/form-data`类型的请求。在上传文件时,如果文件...
detect_boundary.rar_Windows编程_boundary
09-14
"detect_boundary.rar_Windows编程_boundary"这个压缩包文件包含了使用MATLAB编写的代码,专门用于执行边界检测。MATLAB是一种强大的数学计算环境,对于快速开发和原型验证算法非常有用。 **MATLAB与Windows编程...
Grain boundary
03-28
shows how grain boundary precipitates form
article_4.zip_boundary value_research
09-24
在数学和计算科学领域,边界值问题(Boundary Value Problem,BVP)是微分方程理论的核心部分,它涉及到求解满足特定边界条件的微分方程。这类问题广泛存在于物理、工程、经济等多个学科中,如热传导、流体力学、...
Java代码审计手册(English)
重新启程
10-14 1万+
Table of Contents Predictable pseudorandom number generator (PREDICTABLE_RANDOM) Predictable pseudorandom number generator (Scala) (PREDICTABLE_RANDOM_SCALA) Untrusted servlet parameter (SERVLET...
Security -- Format string attack
guilanl的专栏
12-09 778
Description The Format String exploit occurs when the submitted data of an input string is evaluated as a command by the application. In this way, the attacker could execute code, read the stack,
老阳推荐的博客
guilanl的专栏
12-15 611
关于一些security basic concept, 先收藏: http://www.cubrid.org/blog/dev-platform/understanding-encryption-security-through-java-cryptography-architecture/
boundary loss
最新发布
09-09
边界损失(Boundary Loss)是一种在计算机视觉中常用的损失函数,用于图像分割任务中。它的目标是通过优化边界预测,使得图像分割结果的边界更加清晰和准确。 通常,在图像分割任务中,我们需要将图像中的每个像素分类为前景或背景。边界损失通过度量预测边界与真实边界之间的差异来指导模型学习。它可以有效地提高分割结果的边界质量,减少预测结果中的模糊或不连续性。 边界损失通常与其他损失函数(如交叉熵损失)结合使用,以综合考虑分割结果的整体准确性和边界质量。在训练过程中,边界损失会根据预测的边界与真实边界之间的差异进行梯度反向传播,从而逐渐优化模型参数。 值得注意的是,实际的边界损失函数可能有多种实现方式,具体取决于任务的特点和算法的设计。不同的方法可能会对边界的定义和度量方式有所不同,因此在具体应用时需要根据任务需求选择适合的边界损失函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值