Secure Code Warrlor学习记录(二)

最新推荐文章于 2024-08-25 21:18:14 发布
最新推荐文章于 2024-08-25 21:18:14 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Java代码审计 文章标签: hibernate 网络安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44029310/article/details/125027363
版权

文章目录

前言

Secure Code Warrlor是一个代码审计的练习平台。

一、SQL注入练习(3)

1.漏洞点为:

在这里插入图片描述

2.解决方案:

在这里插入图片描述

3.总结

    1)Hibernate是一种ORM框架,在Java对象与关系数据库之间建立某种映射,以实现直接存取Java对象。
    2)在hibernate中最好使用 saveOrUpdate() 方法将实体保存到数据库中,而不是连接字符串,这样可以有效防止SQL注入。
    3)saveOrUpdate()方法作用:这个方法是更新或者插入,有主键就执行更新,如果没有主键就执行插入。

二、SQL注入练习(4)

1.漏洞点为:

在这里插入图片描述

2.解决方案:

在这里插入图片描述

3.总结

    1)可见使用了Hibernate框架,此时应注意是否使用了setParameter(),setProperties(),setEntity()等方法做参数绑定来预防SQL注入,查看是否有SQL语句直接拼接了。
在这里插入图片描述
    2)Hibernate框架三个绑定方法:
setEntity()方法 : 把参数与一个持久化类的实例绑定。
例如:setEntity()方法把“customer”命名参数与一个Customer对象绑定

session.createQuery("from Order o where o.customer = :customer")
.setEntity("customer",customer).list();

setParameter()方法:绑定任意类型的参数。

Query query = session.createQuery( " from Order o where o.id=:id and o.orderNumber like :orderNumber");
query.setParameter(" id" , 1);
//   query.setParameter(" orderNumber",orderNumber,Hibernate.STRING);  //hibernate 3.0的写法。
query.setParameter(" orderNumber",orderNumber, StringType.INSTANCE); //hibernate 4.2的写法

setProperties() 方法:用于把参数名称与一个对象的属性值绑定。

Customer c=new Customer();
c.setName("Tom"); 
c.setAge(20);
Query query =session.createQuery(" from Customer as c where c.name = : name and c.age = :age")
query.setProperties(c) ;

    3)可见此处没有对SQL语句做参数绑定,造成了SQL注入
在这里插入图片描述

Mauro_K
关注
专栏目录
Secure Code Warrlor学习记录
qq_44029310的博客
05-29 854
Secure Code Warrlor是一个代码审计的练习平台,此系列文章均为学习记录
CodeWarrior入门及使用教程
10-15
CodeWarrior入门及使用教程,主要介绍CodeWarrior软件的使用入门、编码规则及一些注意事项。
Secure Code Warrior®解决Zoom Video Communications的安全需求
美国商业资讯的博客
05-21 912
悉尼、波士顿和伦敦--(美国商业资讯)--全球安全编码公司Secure Code Warrior®今日宣布,该公司已被Zoom Video Communications, Inc. (NASDAQ: ZM)选中来部署其在线安全编码平台,这是Zoom旨在加强其开发人员安全编码最佳实践的持续战略的一部分。 Secure Code Warrior联合创始人、首席执行官兼董事长Pieter Danhieux表示:“随着远程办公、在线交流和协作的兴起,确保通过安全的私有软件为高绩效远程团队提供支持变得比以往任何时候
Secure Code Warrior通过Missions将安全编码能力提升到新高度
美国商业资讯的博客
11-17 1264
新的真实模拟基于开发人员的安全编码技能,同时引入教学鹰架理论(educational scaffolding) 悉尼、波士顿、伦敦和比利时布鲁日--(美国商业资讯)--全球安全编码公司Secure Code Warrior®今日推出Missions——实际应用程序的交互式实践编码模拟,以鼓励开发人员在安全的环境中体会不良代码行为造成的实时影响。Missions是Secure Code Warrior在2020年4月收购冰岛初创公司Adversary后带来的成果。 当前的任务达40项,涉及常见..
Secure Code Warrior - got Java Yellow/White Belt
★【World Of Moshow 郑锴】★
07-13 3327
Certificate Skil 不使用任何string或者拼接sql直接查询,查询也要用prepareStatement 不使用任何url根据参数跳转页面,必须固定规则或者基于useRole跳转页面 不输出{param.value}到input上 不使用get进行form提交 不使用任何参数拼接file文件路径,固定path或者根据user信息设定 不使用任何直接OS命令,进行严格限制 不相信用户输入得任何东西,都要校验 不直接输出任何用户得东西,需要escapeHtml进行转义 ...
Secure Code Warrlor学习记录(四)
qq_44029310的博客
05-31 757
Secure Code Warrlor是一个代码审计的练习平台,本次练习对象包含Spring框架和Spring Data Jpa框架。
Secure Code Warrlor学习记录(三)
qq_44029310的博客
05-29 1589
Secure Code Warrlor是一个代码审计的练习平台。
codewarrior使用指南(freescale 官方培训版)
11-09
codewarrior使用指南(freescale 官方培训版) 214页
Codewars练习题目
Xiaojia_guniang的博客
09-04 899
编写一个函数,它接受一个或多个单词组成的字符串,并返回相同的字符串,但将所有五个或五个以上字母单词颠倒(就像这个Kata的名称)。 传入的字符串将只由字母和空格组成。 给定一串单词,您需要找到得分最高的单词。一个单词的每个字母都根据其在字母表中的位置对分数进行评分:a = 1, b = 2, c = 3等。 您需要将得分最高的单词作为字符串返回。 找到丢失的字母,编写一个方法,该方法将连续(递增)字母的数组作为输入,并返回数组中缺少的字母。您将始终获得有效的数组。而且总是会丢失一个字母。数组的
给程序员的三点建议
超越梦想,一起飞!!!
05-31 962
亲爱的各位读者 大家好!我今天要个大家分如何做一个成功的程序员。主要包括下面的三大部分。 立功立言立德 《左传·襄公十四年》:“太上有立德,其次有立功,其次有立言,虽久不废,此之谓不朽。刚开始听到这句话的时候,我也不是太理解,直到后面看了《冯梦龙传奇》的电影,才真正明白其中的含义;立德以获得尊敬,立言传于后世,立功是造福一方百姓;冯梦龙何许人也?三言的作者:《喻世明言》,《警世通言》,《醒世恒言》。 虽然古代文人的最终理想是做官,那这三句话对我们程序员的职业规划有什么关系呢? 程序员的立德就是要以自己的专
Codewarrior user guide
10-29
本资源为codewarrior用户手册,里面详尽介绍了codewarrior相关功能及使用方法
【转载】CodeWarrior IDE使用Tips-如何编译生成和调用静态库
weixin_34247155的博客
01-09 1098
CodeWarrior IDE使用Tips-如何编译生成和调用静态库 原创2017-09-22胡恩伟汽车电子expert成长之路 内容提要 引言 1. 嵌入式MCU应用程序开发中的库使用和使用用静态库的好处 2. 在CodeWarrior 5.x和CodeWarrior 6.x IDE中利用Libmaker for S12/S08编译生成和调用静态库 3. 在Code...
10.6版本的CodeWarrior 的使用手册
happygrilclh的博客
01-18 9798
10.6版本的CodeWarrior 的使用手册,文档很大,56页,百度云盘下载路径: 网盘地址: 链接:https://pan.baidu.com/s/14jQVcXq_GtMvaalsW3BvrQ 提取码:6mqr 在实际操作中,要给开发板烧写程序, 1,先clean all一下。清除之前的工程信息 2. 再build all一下。编译当前工程 3. 点击烧录。此处要特...
CodeWarrior烧录BSP过程详解
liuxh654的专栏
12-22 1794
在VxWorks编译完成BSP文件后,一般情况下命名为bootrom_uncmp.bin会烧录到P1010 IFC总线的CS0挂的Flash中,进入地址为0xFFFFFFFC
Security Shepherd实战笔记(答案
qq_41042211的博客
07-14 4520
记录一下容易错的题目。 部分答案可以参考: https://sythonic.github.io/2016/OWASP-Security-Shepherd/ https://woj.app/2354.html https://susiecybersecurity.wordpress.com/category/09_owasp-security-shepherd/ Cross Site Scripting Challenge One <img οnerrοr=alert(`lalala`);>
5 个免费练习黑客技术的网站!
Innocence_0的博客
03-07 421
5 个免费练习黑客技术的网站!
CodeQL 代码审计平台学习笔记
vspiders的博客
08-20 1026
CodeQL是一款代码审计分析平台,它将Python、Go、JavaScript等语言解析生成语法树并存储到数据库中,之后通过QL语法进行代码审查与筛选。你可以按照自己的想法写代码审计检测脚本,甚至进行代码漏洞 OR 恶意检测。 安装 下载CodeQL进制文件 wget https://github.com/github/codeql-cli-binaries/releases/download/v2.2.4/codeql-linux64.zip 下载语言库依赖 wget htt
Web安全:SQL注入实战测试.(扫描 + 测试)
最新发布
网络安全领域___专研者.
08-25 1048
SQL注入就是 有些恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容中,同时程序的本身对用户输入的内容过于相信,没有对用户插入的SQL语句进行任何的过滤,从而直接被SQL语句直接被服务端执行,导致数据库的原有信息泄露,篡改,甚至被删除等风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值