怎么应对API 成批分配问题?

已于 2024-08-08 10:41:34 修改
阅读量96 收藏 4
点赞数 1
分类专栏: Java零碎 文章标签: java spring boot 后端
于 2024-08-08 10:27:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50736744/article/details/141018212
版权

目录

1、问题分析

API 成批分配利用可能导致特权升级、数据篡改、绕过安全机制。
对于POST请求,如果请求时body里存在后台不需要的字段,但是响应成功

2、问题重现

正常传参是 {"page":1,"pageSize":10,"userPhone":""} ,现在给一个多几个属性的参数也能响应成功,这是不对的:{"page":1,"pageSize":10,"userPhone":"","isadmin":true,"issso":true,"role":"admin"},这说明测试结果存在漏洞,因为测试响应成功(返回 200 OK),这表明多传参了但应用程序/API 访问成功。
测试多传参数属性的请求和响应:

POST	/ngbsp-api/user-act/admin/discuss/black/list	HTTP/1.1
Host:	10.110.120.101:89
Accept:	application/json,	text/plain,	*/*
X-CSRF-TOKEN:	a6a5d13a-74e5-4507-bbc9-4fc0ccf94d7a
X-Requested-With:	XMLHttpRequest
User-Agent:	Mozilla/5.0	(Windows	NT	10.0;	Win64;	x64)	AppleWebKit/537.36	(KHTML,	like	Gecko)	Chrome/126.0.0.0	Safari/537.36Content-Type:	application/json;
Origin:	http://10.110.120.101:89
Referer:	http://10.110.120.101:89/ngbsp/
Accept-Language:	en-US
Connection:	keep-alive
Content-Length:	82
Cookie:	LCUID=LzWATXrrydZKuIW4n18FFtf1mAoEUwqHy2AO0zGqMk9wz7l3tiOqZXpz/seb3o4IOyVQA4jS93S2k5OpJyRS8W62Y5Rxx+fTURpA+eQzD5g=;NGBSPSID=OGEwMjlmOTAtMDEzZi00NGY2LTk0OGQtOTM3YTg1NjYyYThj;	LCSSID=OGEwMjlmOTAtMDEzZi00NGY2LTk0OGQtOTM3YTg1NjYyYThj{
	"page":	1,
	"pageSize":	10,
	"userPhone":	"",
	"isadmin":	true,
	"issso":	true,
	"role":	"admin"
}
HTTP/1.1	200	OK
Server:	nginx/1.21.6
Date:	Wed,	24	Jul	2024	09:15:53	GMT
Content-Type:	application/json
Transfer-Encoding:	chunked
Connection:	keep-alive
Cache-Control:	no-cache,	no-store,	max-age=0,	must-revalidate
Expires:	0
Pragma:	no-cache
Referrer-Policy:	no-referrer
X-Content-Type-Options:	nosniff
X-Frame-Options:	DENY
X-Xss-Protection:	1	;	mode=block
{
	"code":	"P00000",
	"msg":	"",
	"data":	{
	 	"total":	4,
	 	"records":	[
			{
	 	 	 	"userPhone":	"17863200022",
	 	 	 	"nickName":	"178****0022",
	 	 	 	"userName":	null,
	 	 	 	"joinTime":	"2021-06-16	14:14:53"
	 	 	} ,
			{
	 	 	 	"userPhone":	"13710000001",
	 	 	 	"nickName":	"137****0001",
	 	 	 	"userName":	null,
	 	 	 	"joinTime":	"2021-06-12	14:55:27"
	 	 	} ,
			{
	 	 	 	"userPhone":	"15564156415",
	 	 	 	"nickName":	"155****6415",
	 	 	 	"userName":	null,
	 	 	 	"joinTime":	"2021-06-10	14:22:19"
	 	 	} ,
			{
	 	 	 	"userPhone":	"13620000001",
	 	 	 	"nickName":	"136****0001",
	 	 	 	"userName":	null,
	 	 	 	"joinTime":	"2021-06-08	10:23:21"
			}
	 	] ,
	 	"current":	1,
	 	"size":	4,
	 	"pages":	1,
	 	"listSize":	0
	 }
}

2、修复建议

  • (1)body使用VO或者DTO接收
  • (2)对body进行校验,增加反序列化配置方案
方案一,通过yml配置
spring:
  jackson:
    deserialization:
      fail-on-unknown-properties: true

方案二,自定义配置类

@Configuration
public class WebConfiguration extends WebMvcConfigurationSupport {

    @Override
    public void extendMessageConverters(List<HttpMessageConverter<?>> converters) {
        converters.removeIf(MappingJackson2HttpMessageConverter.class::isInstance);
        converters.add(0, mappingJackson2HttpMessageConverter());
    }

    public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {
        ObjectMapper objectMapper = new ObjectMapper();
        objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, true);
        objectMapper.setDateFormat(new SimpleDateFormat("yyyy-MM-dd hh:mm:ss"));
        return new MappingJackson2HttpMessageConverter(objectMapper);
    }
}
  • (3)统一异常捕获或者返回处增加非200状态码
@ExceptionHandler(value = HttpMessageNotReadableException.class)
    public ResponseEntity<ResponseDTO> methodHttpMessageNotReadableExceptionHandler(
            HttpServletRequest request, HttpMessageNotReadableException e) {
        logger.error("请求body中存在实体类中不存在的参数");
        logger.error("请求地址:{}", request.getServletPath());
        ResponseDTO responseDTO = ResponseDTO.error(ErrorCodeEnum.S_REQ_PARAM_ERROR, "");
        return new ResponseEntity<>(responseDTO, HttpStatus.INTERNAL_SERVER_ERROR);
    }

4、具体操作方法

1、建DTO,前端传什么参数,DTO里的属性就是什么,可以将页面的属性提取出来继承。

public class AdminDiscussBlackDTO {

    private String userPhone;

    private Integer page;

    private Integer limit;
    // get、set方法
    }

2、接口参数接收修改
之前的出现API成批分配的java代码接口:
之前是用@RequestBody Map param接收的参数,现在是@RequestBody AdminDiscussBlackDTO discussBlackDTO 接收参数。

 @PostMapping("/list")
    public ResponseDTO list(@Valid @RequestBody AdminDiscussBlackDTO discussBlackDTO) {
        Map<String, Object> param = BeanUtil.beanToMap(discussBlackDTO);
        PageBean<DiscussBlackEntity> pageBean = discussBlackService.list(param);
        return WebUtils.createSuccessResponse(pageBean);
    }

3、在application.yml里配置反序列化
在这里插入图片描述
4、异常处理

/**
 * 异常处理器
 */
@RestControllerAdvice
public class RRExceptionHandler {

  /**
     * 捕获反序列化异常HttpMessageNotReadableException,增加500状态码返回
     *
     * @param request 请求
     * @param e       异常对象
     * @return 响应
     */
    @ExceptionHandler(value = HttpMessageNotReadableException.class)
    public ResponseEntity<ResponseDTO> methodHttpMessageNotReadableExceptionHandler(
            HttpServletRequest request, HttpMessageNotReadableException e) {
        logger.error("请求body中存在实体类中不存在的参数");
        logger.error("请求地址:{}", request.getServletPath());
        logger.error("用户id:{}", MsySecurityContextHolder.getUser().getUserId());
        ResponseDTO responseDTO = WebUtils.createFailureResponse(ErrorCodeEnum.S_REQ_PARAM_ERROR, "参数不合法");
        return new ResponseEntity<>(responseDTO, HttpStatus.INTERNAL_SERVER_ERROR);

   	    // 判断是否是整数溢出问题,其他的问题的异常处理
        if (e.getRootCause() instanceof InputCoercionException || e.getRootCause() instanceof InvalidFormatException) {
            logger.error("类型转换错误");
            logger.error("请求地址:{}", request.getServletPath());
            ResponseDTO responseDTO = WebUtils.createFailureResponse(ErrorCodeEnum.S_REQ_PARAM_ERROR, "非法的请求参数");
            return new ResponseEntity<>(responseDTO, HttpStatus.OK);
        }
    }
}

5、修改完的测试

1、多传个其他的请求参数,报错。
在这里插入图片描述
2、参数名不对,也报错
在这里插入图片描述
3、少传个参数没事,比如说userPhone不传,不报错。

码农小C
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
appscan扫出API成批分配问题解决
qq_41835151的博客
10-26 6417
appscan扫出API成批分配问题解决
API成批分配漏洞介绍与解决方案_api 成批分配
2401_84267735的博客
04-28 1134
在配置界面中第一项便是要求填写【URL和服务器】,在图2中【从该URL开始扫描】位置输入目标URL即可。图3:完全扫描当我们启动【完全扫描】模式时,在【探索】位置我们可以对【URL和服务器】进行配置,配置方式和【扫描web应用程序】的配置方式一致。AppScan主界面中除了【web应用程序】和【完全配置】外,还有【web API】,web API的配置是不需要的填写URL的。图4:扫描web APIweb API虽然无需填写URL,但需要填写客户机和描述文件。漏洞条件:1、接口类型为。
API成批分配漏洞介绍与解决方案
sinat_31583645的博客
12-01 5112
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{"user_name":"user","is_admin":0},而恶意攻击者修改请求参数,提交值为{"user_name":"attacker","is_admin":1},通过修改参数is_admin的值来提升为管理员权限。
2024年最全API成批分配漏洞介绍与解决方案_api 成批分配,聊聊网络安全开发的现状和思考
2401_84132544的博客
05-05 1062
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
网络安全最全API成批分配漏洞介绍与解决方案_api 成批分配,看完直接跪服
2401_84239830的博客
05-14 835
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。在 API 中利用批量分配更容易,因为按照设计,它们公开了应用程序的底层实现以及属性名称。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
网络安全最新API成批分配漏洞介绍与解决方案_api 成批分配(2),终于彻底把握了
2401_84302761的博客
05-09 838
探索 API 的攻击者发现端点 GET /api/v1/videos/{video_id}/meta_data 返回带有视频属性的 JSON 对象。攻击者还发现端点 POST /api/v1/videos/new 容易受到批量分配的影响,并允许客户端设置视频对象的任何属性。AppScan主界面中除了【web应用程序】和【完全配置】外,还有【web API】,web API的配置是不需要的填写URL的。当来自客户端的手动修改不可变内部对象属性的请求不受 API 端点限制时,就会出现 API 批量分配漏洞。
2024年API成批分配漏洞介绍与解决方案_api 成批分配(1),2024年最新就是这么简单
2401_84264583的博客
05-10 910
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
2024年API成批分配漏洞介绍与解决方案_api 成批分配(2),2024年最新讲的真透彻
2401_84264610的博客
05-10 970
请求 GET /api/v1/users/me 包含一个额外的credit_balance 属性:攻击者使用以下有效负载重放第一个请求:{“user_name” : “攻击者”,“age” : 60,“credit_balance” : 99999}由于端点容易受到大规模分配的影响,攻击者无需付费即可获得积分。视频共享门户允许用户上传和下载不同格式的内容。探索 API 的攻击者发现端点 GET /api/v1/videos/{video_id}/meta_data 返回带有视频属性的 JSON 对象。
appscan_api_Demo:适用于AppScan演示的小型易受攻击的api
03-31
"appscan_api_Demo" 就是为了教育开发者和安全专业人员关于API安全性的重要性,以及如何使用IBM AppScan这样的静态应用安全测试(SAST)工具来识别和修复这些问题。 IBM AppScan是一款强大的静态代码分析工具,能够...
漏洞扫描工具(weakscan)V1.3
05-27
漏洞扫描工具主要功能是检查.c/c++/.java文件中存在的代码漏洞。漏洞集合以CWE为参照,检查了百余条代码中存在的常见且严重的安全漏洞。既能够基于静态分析检查数据无关的漏洞,也能够基于路径遍历检查数据相关的...
安全扫描工具HCL AppScan最新版本10.0.7
06-01
规则库的庞大数量意味着AppScan可以对各种复杂的安全问题进行深入检测,确保用户能够应对不断演变的网络安全威胁。 作为一款源码软件,HCL AppScan支持多种编程语言,如Java、C#、Python、JavaScript等,可以在代码...
appscan安全漏洞修复
12-21
修复此问题的关键在于实施严格的访问控制策略,如限制连续尝试次数,设置锁定账户的时间阈值,并记录异常登录活动以便进一步调查。 2. 会话标识未更新:会话管理是Web应用安全性的重要组成部分。若会话标识在用户...
IBM Rational AppScan介绍
02-10
- **持续跟踪**:支持对已发现的问题进行跟踪,确保问题得到及时解决。 #### 三、使用场景 AppScan广泛应用于以下几种情况: - **开发阶段**:在软件开发生命周期的早期阶段使用AppScan,可以在代码上线前发现并...
Spring Boot】高效配置管理: 易用性与灵活性并重
weixin_68020300的博客
08-07 932
本文探讨了Spring Boot中多样化的配置读取方法及其应用场景,强调了配置管理的重要性,并展示了Spring Boot如何通过灵活多变的配置选项简化这一过程。此外,文章还展望了配置管理领域未来的技术趋势和发展方向。对于任何希望深入了解Spring Boot配置管理的开发者来说,这是一篇不容错过的好文。
J031_使用TCP协议支持与多个客户端同时通信
lzn20161229的博客
08-03 436
使用TCP协议支持与多个客户端同时通信。
C++ - 函数重载
jiaowenjie的专栏
08-06 201
/打印的是第二个函数的地址。//打印的是第一个函数的地址。-> 重载函数在本质上是相互独立的不同函数。-> 函数返回值不能作为函数重载的依据。-> 重载函数的函数类型不同。**3.函数默认参数和函数重载****函数重载的注意事项:****4.函数重载的本质**
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 1271
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
伐木工 (100%用例)D卷 (Java&&Python&&C++&&Node.js&&C语言)
最新发布
荆赫同艺的博客
08-07 49
一根 4米长的树木,伐木工不需要切割为 2*2,省去切割成本,直接整根树木交易,为 4*1,收益最大为 4。方式二: 3,2,2,3,但方式二,伐木工多切割一次,增加了切割成本却卖了一样的价格,因此并不是最优收益。一根 2 米长的树木,伐木工不切割,为2*1,收益最大为 2。一根5 米长的树木,伐木工切割为 2*3,收益最大为 6。输出最优收益时的各个树木长度,以空格分隔,按升序排列。一根 10 米长的树木,伐木工可以切割。方式一:3,4,4,也可以切割为。
API成批分配问题解决
05-31
您好!关于API成批分配问题的解决方案,可以考虑以下几点: 1. 设计合理的API管理系统:通过建立一个API管理系统,可以对API进行有效的分配和管理,确保每个API都能够得到合理的利用。在API管理系统中,可以设置不同的用户权限,以便对API进行更细粒度的管理。 2. 使用API网关:API网关是一个用于管理API的中间件,可以对API进行统一的管理和分配。通过使用API网关,可以有效地控制API的使用量,避免API被大量请求导致系统崩溃。 3. 考虑负载均衡:当API的请求量较大时,可以通过使用负载均衡技术,将请求分散到多个服务器上进行处理,以确保API的高可用性和稳定性。 4. 限制API的调用频率:为了避免API被恶意请求,可以限制API的调用频率,设置一定的访问限制,以确保API的安全性和稳定性。 希望以上几点可以对您有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农小C

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值