一个请求入参 req 引发的魔法攻击

最新推荐文章于 2024-10-17 16:42:17 发布
最新推荐文章于 2024-10-17 16:42:17 发布
阅读量447 收藏 9
点赞数 12
分类专栏: 生产项目问题复盘 文章标签: bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li_dian_jin/article/details/141979567
版权

项目场景

月初检修上线后没几天,隔壁项目组的同事,反馈说出现了生产问题,调用我们这边的接口报错。

bug

问题描述

看到这个问题的第一眼,什么鬼,请求参数错误?

但是看到 “操作用户信息为空” 这个提示的时候,心里咯噔一下。
这个是我们这边封装的的一个基类,用户从前台请求的时候都会自动带上。
基类里面的用户信息字段,是加了 @NotNull 注解的。
只要外层加了 @Valid 注解就会进行必填的校验。

原因分析

罪魁祸首竟然是这个?!一个同事加了一个基类的继承。然后没有考虑到有其他项目 or 第三方的调用,而且还有必填校验。
req
据我了解,隔壁组的请求是没有封装这几基类的。
所以,引用到这个 req 的好几个接口都中枪了。

解决方案

  1. 评估影响范围,在其他项目组进行修改,或者我们项目组进行代码回滚和对应的修改。
  2. 新建一个 req,不要动原来的 req 了。

经验教训

  1. 评估改动的影响范围,有多少地方引用了这个 req。特别注意,继承的基类里面有 @NotNull 类似的校验注解。
  2. 有人说,不知道其他项目引用了。这种情况也挺常见,一开始接口我自己用,后面其他项目组也用到了。这个时候,规范的命名(external 加类似这种前后缀进行标识),或者必要的注释就很重要了,让其他修改这块代码的人,一眼就知道它的影响范围。
  3. 开闭原则:对拓展开放,对修改关闭。
d.king.
关注
专栏目录
一个程序员的成长之路
weixin_35713159的博客
04-13 1431
equals一般比较对象内容是否相等,而==比较两者的栈中保存的对象堆地址值是否相等,即是否指向同一个对象,equals在object中就存在,如不重写的话两者没有区别,重写时一般使用hashcode方法结合,比较相等首先判断hashcode是否相等,相等再进行真实值的比较,大大降低比较时间,最多两次即可判断。原因:在一个范围中的浮点数个数不是有限的,存在精度问题,如果要进行比较,使用BigDecimal并使用BigDecimal提供的对象方法进行计算,构造时使用String作为入参防止丢失精度。
常见web安全隐患及解决方案
lengye7的博客
04-16 3167
Abstract 有关于WEB服务以及web应用的一些安全隐患总结资料。 1. 常见web安全隐患 1.1.完全信赖用户提交内容 开发人员决不能相信一个来自外部的数据。不管它来自用户提交表单,文件系统的文件或者环境变量,任何数据都不能简单的想当然的采用。所以用户输入必须进行验证并将之格式化以保证安全。具体如下: ⑴ 始终对所有的用户输入执行验证,...
CTF之web安全
weixin_45722313的博客
04-02 9839
web安全 CSRF 简介 CSRF,全名 Cross Site Request Forgery,跨站请求伪造。很容易将它与 XSS 混淆,对于 CSRF,其两个关键点是跨站点的请求请求的伪造,由于目标站无 token 或 referer 防御,导致用户的敏感操作的每一个参数都可以被攻击者获知,攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。 CSRF 类型 按请求类型,可分为 GE...
varnish
dreamer_hahaha
07-28 4424
varnish 实验环境: server1 : ip: 172.25.31.1 server2 : ip: 172.25.31.2 server3 : ip: 172.25.31.3 在sever1中安装varnish 安装: yum install varnish-3.0.5-1.el6.x86_64.rpm varnish-libs-3.0.5-1.el6.x86_64.rpm...
老男孩上海校区Python面试题
热门推荐
DominicJi的博客
11-08 1万+
python面试题 第一章:python基础 数据类型: 1 字典: 1.1 现有字典 dict={‘a’:24,‘g’:52,‘i’:12,‘k’:33}请按字典中的 value 值进行排序? 1. sorted(dict.items(),key = lambda x:x[1]) 1.2 说一下字典和json的区别? 1. 字典是一种数据结构,json是一种数据的表现形式,字典的key值只要是...
Django知识点汇总
So begins a new age of knowledge
10-17 3552
Django知识点汇总 目录 一、wsgi接口 二、中间件 三、URL路由系统 四、Template模板 五、Views视图 六、Model&ORM 七、Admin相关 八、Http协议 九、COOKIE 与 SESSION 十、Django的用户认证 十一、From与ModelForm 十二、分页 十三、缓存 十四、信号 十五、序列化 十六、Ajax 十七、数
在Go中构建微服务
karamos的专栏
08-10 1449
黄金法则:你可以在不更改任何其他代码的前提下更改服务并重新部署吗?——Sam Newman,Building Microservices作者 我们构建的每个服务都应该是微服务,正如本书前面提到的,我不赞同使用前缀“micro”。本章将要构建一个服务,不只关注结果,也同样关注过程。我们会采用API First的方式,在编写代码之前首先设计服务的RESTful接口。在开始编写代码时,首先编写测试...
MyBatis分页查询与特殊字符处理
liaozhixiangjava的博客
08-24 1371
MyBatis是一种基于Java的持久层框架,它实现了对数据库的操作,并使用Java对象映射关系表中的记录,即将关系数据库中的数据映射到Java对象中,提供了一种优雅的方式来访问关系数据库。MyBatis最重要的特点是它的SQL映射,使得开发人员可以使用XML或注解的方式将SQL语句与Java代码进行解耦,从而提高了代码的可维护性和可读性,并降低了整个应用程序的复杂度。MyBatis还支持动态SQL,这意味着你可以在不同的场景下根据不同的条件来生成SQL查询语句。
Django基础--Django基本命令、路由配置系统(URLconf)、编写视图、Template、数据库与ORM...
weixin_30606669的博客
09-16 482
web框架 框架,即framework,特指为解决一个开放性问题而设计的具有一定约束性的支撑结构。 使用框架可以帮你快速开发特定的系统。 简单地说,就是你用别人搭建好的舞台来做表演。 尝试搭建一个简单的web框架: 因为我们不希望接触到TCP连接、HTTP原始请求和响应格式,所以,需要一个统一的接口,让我们专心用Python编写Web业务。 这个接口就是WSGI:Web Server ...
express中无法在axios.post请求中通过req.body获取请求传递的数据的解决办法
weixin_54241625的博客
04-11 2212
关于用express搭建服务器不能从req.body里获取数据的问题解析 最开始的情况,根本不能通过req.body拿出数据,req.body返回的是一个空对象, 经过多次上网搜索,才发现需要在express中引入bodyParser这个插件 bodyparser有4种常用的解析方式,对应数据格式可以在官网上看文档,本人前端小白只能谈谈自己的理解和解决的办法 const express = require('express'); var bodyParser=require('body-parser');
【微服务】springboot 自定义注解+反射+aop实现动态修改请求参数
congge
09-01 8645
springboot 动态修改请求参数常用方案
node.js (二)内置http模块,从req.url中获取请求参数
NI_computer的博客
10-29 2836
http Node内置的http模块功能使得它非常适合用来开发Web程序。与apache不同,apache为静态服务器,用于将浏览器端请求的静态资源返回。而http模块可以开发动态接口,用于处理前端业务,比如登录,注册,查询资讯信息等。 使用流程: 引入http模块 创建服务对象 在创建的服务对象中编写需要执行的操作代码 打开服务并对创建的服务对象进行监听或者其他操作 创建:http.Server http.createServer()表示创建一个服务,该函数的返回值为http.Server的实例。 v
Postman 测试各种类型入参传值
雨落本无晴
05-30 1万+
文章目录Postman 在各种场景下的传参用法准备工作1. Postman 工具:2. 一个实体类 Studentget 请求入参为id,Integer 类型post 请求入参为 Integer 类型(基本类型包装类 - 单个)入参为 List < Integer > 类型(基本类型包装类 - 列表)入参为 Student 类型(对象 - 单个)入参为 List< Student > 类型(对象 - 列表) Postman 在各种场景下的传参用法 准备工作 1. Postman 工
http模块中创建最基本的web服务器,以及req请求对象和res相应对象
bnzjxbsjjdnnxj的博客
04-05 2970
晚上好啊小伙伴们,最近几天来温度有了很大的回升,能明显感觉到没有那么冷了,现在连刮风都是那种温柔柔的暖风,让人感觉很舒服,最近爱上了打羽毛球,每天晚上都会出去玩儿会儿,然后回去睡觉会睡得非常舒服,也同样活动了一下老胳膊老腿,天气虽然暖和了,但是现在也不可以乱跑哦,疫情情况依然还很严重,还需要非常注意,每天去做一下运动也可以增强身体抵抗力!等疫情结束了,我们一起约去旅游吧,去几个一直非常想去但是没有去的地方,吃遍那里所有的美食,和朋友爱人拍一堆堆照片来弥补我们这几年的遗憾。 一、日常啰嗦 昨天和大家一.
Bug剖析
mhgjddev的博客
10-13 1105
• 所有的Bug报告有以下的基本要求:• 标题。要简略。• 指派。谁来处理这个问题。• 重现步骤。问题再次出现的相关步骤。• 优先级别。问题的紧迫性与重要性。• 严重程度。问题所产生的后果。• 解决方案。怎么解决问题。其他很多方面对修复问题及明白其深层次原因也很有帮助,但以上基本准则简练得多。下面我们来对每条准则逐一展开讨论,消除这些疑惑。
【ios】SwiftUI 混用 UIKit 的 Bug 解决:UITableView 无法滚动到底部
提笔忘字的帝国
10-11 629
在 SwiftUI 中嵌套使用 UIKit 的的高度没有正确设置,导致内容无法正常滚动,尤其是滚动到页面底部时。在于 SwiftUI 和 UIKit 的布局机制不同。SwiftUI 使用声明式布局系统,而 UIKit 使用传统的视图层次结构。如果没有明确告诉应该占用多少高度,UIKit 中的可能会默认按照父视图的尺寸计算,忽略 SwiftUI 布局中的其他组件。因此,的高度和滚动行为就会出现问题。
倍福TwinCAT程序中遇到的bug
qq_30150579的博客
10-15 1194
倍福TwinCAT程序中遇到的bug
STM32CubeIDE使用ADC采用DMA重大BUG
大牛攻城狮的专栏
10-12 577
大牛攻城狮最近调试STM32L151CBT6。由于项目上使用该款芯片做控制电源使用,其中涉及到多路ADC的数据采样。使用STM32CubeIDE 1.8.0版本详细如下图所示注意这里的使用的软件版本号很关键。这里就出现了问题,具体分析如下,MX_DMA_Init函数首先打开DMA时钟,所以必须在MX_ADC_Init函数之前,所以生成如下代码是错误的,这里只是ADC的DMA存在这个问题,应该其他外设的DMA是不是也有这个问题。
Bug:通过反射修改@Autowired注入Bean的字段,明确存在,报错 NoSuchFieldException
最新发布
燕双嘤
10-17 101
Bug:通过反射修改@Autowired注入Bean的字段,明确存在,报错 NoSuchFieldException
HttpServletRequest req 接口文档入参怎么写
06-11
通常情况下,接口文档的入参应该包含以下内容: 1. 请求方式:GET、POST等。 2. 接口路径:例如:/user/login。 3. 请求参数:包括必传参数和可选参数,每个参数需要说明参数名、类型、是否必传、描述等。 4. 请求头:如果有请求头,需要说明每个请求头的键名、类型、是否必传、描述等。 5. 示例:提供一个请求示例,包括请求方式、路径、请求参数、请求头等。 对于HttpServletRequest req这种情况,应该在请求参数中说明该参数的类型是HttpServletRequest类型,同时需要说明该参数是否必传、描述等。例如: ``` 请求方式:POST 接口路径:/user/update 请求参数: { "req": { "type": "HttpServletRequest", "required": true, "description": "HTTP请求对象" }, "username": { "type": "string", "required": true, "description": "用户名" }, "password": { "type": "string", "required": true, "description": "密码" } } 请求示例: POST /user/update HTTP/1.1 Content-Type: application/json { "req": {}, "username": "admin", "password": "123456" } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值