【java安全扫描】 HCL AppScan Standard安全报告:API 成批分配问题

最新推荐文章于 2024-05-31 11:15:00 发布
最新推荐文章于 2024-05-31 11:15:00 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: Java 文章标签: java 安全 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41973013/article/details/129808892
版权

API 成批分配说明

原因:
如果 API 端点自动将提供数据的客户机转换为内部对象属性,而不考虑这些属性的敏感度和暴露水平,则 API 端点容易受到成批分配攻击。
风险:
API 成批分配利用可能导致特权升级、数据篡改、绕过安全机制。
修订建议:
常规
避免使用自动将客户机输入数据绑定到代码变量或内部对象的功能。如果适用,请为输入数据有效内容明确定义并实施模式

举个栗子

这是一个POST请求及其正确的传入的参数json

http://127.0.0.1:5101/*****/****
{
    "countType":2,
    "yearStr":"2023"
}

而出现api成批分配问题的请求是

http://127.0.0.1:5101/*****/****
{
    "countType":2,
    "yearStr":"2023",
    "ddddd":"后端不存在接收参数"
}

但SpringBoot仍会把无效的ddddd参数反序列化,向后台发送不需要的参数,

解决方案

如果SpringBoot使用的默认jackson做的序列化,可以考虑对jackson配置来解决传冗余参的问题。

spring:
  jackson:
    serialization:
      # 某些类对象无法序列化的时候,是否报错
      fail_on_empty_beans: true
    deserialization:
       # json对象中有不存在的属性时候,是否报错
      fail_on_unknown_properties: true
qq_41973013
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API成批分配漏洞介绍与解决方案_api 成批分配,2024金三银四网络安全大厂面试题来袭
2301_79098686的博客
04-03 746
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{“user_name”:“user”,“is_admin”:0},而恶意攻击者修改请求参数,提交值为{“user_name”:“attacker”,“is_admin”:1},通过修改参数is_admin的值来提升为管理员权限。
AppScan扫描报告解决方案
anyucx的博客
12-26 985
保存修改后 sbin/nginx -s reload -c conf/nginx.conf。在nginx安装目录下 conf 找到 nginx.conf 在需要server 中加上。一般以上问题解决方法是将扫描到的cdn文件或别的外部链接文件下载,换成本地路径即可。以上三种情况,可以在服务器或本地的nginx 配置文件中添加 ‘安全头’指定修改的配置文件并重启nginx 即可。
【web安全API接口安全风险大盘点:常见漏洞一览
最新发布
qq_44005305的博客
05-31 1016
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web应用程序、API 及其弱点。
API成批分配漏洞介绍与解决方案
sinat_31583645的博客
12-01 5001
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{"user_name":"user","is_admin":0},而恶意攻击者修改请求参数,提交值为{"user_name":"attacker","is_admin":1},通过修改参数is_admin的值来提升为管理员权限。
appscan扫出API成批分配问题解决
qq_41835151的博客
10-26 6389
appscan扫出API成批分配问题解决
Appscan扫出API成批分配问题解决方案
专注于Java领域开发 关注我 带你玩转Java
06-16 2674
解决AppScan扫描API成批分配问题
安全扫描工具HCL AppScan最新版本10.0.7
06-01
作为一款源码软件,HCL AppScan支持多种编程语言,如Java、C#、Python、JavaScript等,可以在代码编写过程中提供实时的静态分析,帮助开发者在编码阶段就识别出潜在的安全问题。同时,它也支持动态应用扫描,通过...
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
HCL.AppScan.Standard v10.5.0
04-24
HCL AppScan Standard v10.5.0:网络安全的坚实盾牌》 HCL AppScan Standard v10.5.0是一款由HCL Technologies公司推出的网络安全测试工具,其核心在于提供强大的Web应用程序安全防护功能。这款软件的出现,为...
安全测试漏扫工具-HCL AppScan-10.5.0(28368)-2024年4月-下载
04-12
### HCL AppScan Standard 10.5.0中的新增功能 重新设计了AppScan Connect - AppScan Enterprise界面,以允许立即或延迟扫描执行以及选择扫描方法的能力。 能够轻松地将完整的测试列表(不包括变体)从测试策略导出...
漏洞扫描工具(weakscan)V1.3
05-27
漏洞扫描工具主要功能是检查.c/c++/.java文件中存在的代码漏洞。漏洞集合以CWE为参照,检查了百余条代码中存在的常见且严重的安全漏洞。既能够基于静态分析检查数据无关的漏洞,也能够基于路径遍历检查数据相关的漏洞。既能够对单个文件扫描,也能够扫描整个工程文件夹。
HCL AppScan Standard v10.5.0 (Windows) - Web 应用程序安全测试
05-08
HCL AppScan 为开发人员、DevOps 和安全团队提供了一套技术来查明应用程序漏洞,以便在软件开发生命周期的每个阶段进行快速修复。 通过使用一流的测试工具、集中的可见性和监督以及多种部署选项(包括本地、云端和...
API安全问题主要成因
weixin_70101757的博客
06-12 349
既然API安全问题由来已久,那么API安全的真实情况到底如何? 不妨先来看一看2020年初的几起数据泄露事件。2020年33月底,多家网络媒体爆料,某社交平台数据疑似大规模泄 露,涉及53亿多用户,随后社交平台的安全专员回复是在23018年底, 有黑客通过手机通讯录接口,伪造本地通讯录来获得手机号与平台用户 的关联,从而“薅走了一些数据”。针对此次API安全问题,平台已及时 加强了安全策略,并在不断强化。除了某社交平台之外,很多社交App 都有通过通讯录匹配好友的功能。2019年11月,Twitter就出现
java接口的滥用_如何解决批量分配Java中不安全的活页夹配置(API滥用,结构化)...
weixin_33998152的博客
02-13 1361
我有一个Controller类,其中包含以下两种查找医生的方法(上下文已更改)。获取 质量分配: 两种方法上的不安全的活页夹配置(API滥用,结构化) 错误。@Controller@RequestMapping(value = "/findDocSearch")public class Controller {@Autowiredprivate IFindDocService findDocSer...
OWASP API安全漏洞类型
weixin_70101757的博客
06-12 385
API安全发展的过程中,除了各大安全厂商和头部互联网企业在 奔走呼吁之外,还有一家公益性安全组织,即开放式Web应用程序安全 项目(Open Web Application Security Project,OWASP)。OWASP是一 个开源的、非盈利的全球性安全组织,主要致力于应用软件的安全研 究,它有很多开源项目,OWASP API安全Top 10就是其中的一个。在OWASP API安全Top 10中,OWASP延续了Web安全的传统,收 集了公开的与API安全事件有关的数据和漏洞猎人赏金平台的数据
API接口漏洞利用及防御
Jernnifer_mao的博客
11-16 565
未经身份验证和授权访问:API接口没有进行适当的身份验证和授权验证,导致攻击者可以直接访问敏感数据或执行未经授权的操作。这种漏洞可能是由于弱密码、缺少访问令牌或缺乏强制访问控制机制导致的。不正确的访问控制:API接口未正确实施访问控制机制,允许攻击者越权访问受限资源。这可能包括缺少角色验证、错误配置的权限策略或漏洞的访问控制列表(ACL)配置。敏感信息泄露:API接口在响应中返回了敏感信息,如数据库连接字符串、用户凭据、私钥等。攻击者可以利用这些信息进行进一步的攻击,例如数据库注入、身份盗窃等。
Spring的配置以及API
爱踢球的程序猿
03-31 342
1. json的数据格式 * 基本数据格式 var jsonObj = {name:"张三",age=23,gender="男",isOnlin=true}; * 带有数组的数据格式 var jsonObjs =[ {name:"张三",age=23,gender="男",isOnlin=true}, {name:"张三",age=23,gender="男",isOnlin=true}, {name:"张三",age=23,gender="
API数据安全知多少【知识篇】
zhangge3663的博客
06-02 916
一、近年来安全态势 近年来,国内外已发生多起由于API 漏洞被恶意攻击或安全管理疏漏导致的数据安全事件,对相关企业和用户权益造成严重损害,逐渐引起各方关注。 分类 年份 公司 详情 国外 2018/2019 Facebook 国外安全人员发现超过2.67 亿条Facebook ID、电话号码和姓名等信息被储存在某公开数据库中。有研究显示,该数据库
hcl appscan standard使用教程
05-23
HCL AppScan Standard 是一款应用程序安全性测试工具,可帮助用户检测和修复应用程序中的安全漏洞。以下是 HCL AppScan Standard 的使用教程: 1. 安装 HCL AppScan StandardHCL 官网下载 HCL AppScan Standard,并按照安装向导进行安装。 2. 创建项目 在 HCL AppScan Standard 中创建一个新项目,输入项目名称和 URL 地址等相关信息。 3. 添加扫描范围 设置扫描范围,可以是整个网站或指定的网页。 4. 运行扫描 选择扫描类型,如快速扫描、全面扫描或高级扫描等,并开始执行扫描。 5. 分析扫描结果 扫描完成后,可以查看扫描结果报告,了解应用程序中的安全漏洞和风险。 6. 修复漏洞 根据扫描结果报告中的建议,修复应用程序中的安全漏洞和风险。 7. 审核更新后的应用程序 重新运行 HCL AppScan Standard 进行扫描,确保已修复的漏洞已被解决。 以上就是 HCL AppScan Standard 的使用教程。需要注意的是,这只是一个基本的流程,具体的操作步骤可能会因为版本升级或其他因素而有所不同,具体使用时请参考官方文档。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值