解决高风险代码:Access Control: Database

最新推荐文章于 2024-04-12 10:25:40 发布
最新推荐文章于 2024-04-12 10:25:40 发布
阅读量2.3k 收藏 19
点赞数 29
分类专栏: 问题 文章标签: 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45752401/article/details/134951885
版权

Abstract
如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授权的记录。

Explanation
Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据
用来指定 SQL 查询中主键的值。 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语
句, 以构建和执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。您可以从与当前被授权用户有关的
所有清单中选择这些标识符。

id = Integer.decode(request.getParameter(“invoiceID”));
String query = “SELECT * FROM invoices WHERE id = ?”;
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();

问题在于开发者没有考虑到所有可能出现的 id 值。虽然界面生成了属于当前用户的清单标识符列表,但是攻
击者可以绕过这个界面,从而获取所需的任何清单。由于此示例中的代码没有执行检查以确保用户具有访问
所请求清单的权限,因此它会显示任何清单,即使此清单不属于当前用户。 有些人认为在移动世界中,典型
的 Web 应用程序漏洞(如 Database access control 错误)是无意义的 – 为什么用户要攻击自己?但是,谨
记移动平台的本质是从各种来源下载并在相同设备上运行的应用程序。恶意软件在银行应用程序附近运行的
可能性很高,它们会强制扩展移动应用程序的攻击面(包括跨进程通信)。 示例 2: 以下代码会调整
Example 1 以适应 Android 平台。

String id = this.getIntent().getExtras().getString(“invoiceID”);
String query = “SELECT * FROM invoices WHERE id = ?”;
SQLiteDatabase db = this.openOrCreateDatabase(“DB”, MODE_PRIVATE,
null);
Cursor c = db.rawQuery(query, new Object[]{id});

许多现代 Web 框架都会提供对用户输入执行验证的机制(包括 Struts 和 Spring MVC)。为了突出显示未经
验证的输入源, Fortify 安全编码规则包会对 Fortify Static Code Analyzer( Fortify 静态代码分析器)报告的问
题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。
我们将这种功能称之为上下文敏感排序。为了进一步帮助 Fortify 用户执行审计过程, Fortify 软件安全研究团
队开发了 Data Validation(数据验证)项目模板,该模板根据应用于输入源的验证机制按文件夹对问题进行
了分组。

Recommendation
与其靠表示层来限制用户输入的值,还不如在应用程序和数据库层上进行 access control。任何情况下都不允
许用户在没有取得相应权限的情况下获取或修改数据库中的记录。每个涉及数据库的查询都必须遵守这个原
则, 这可以通过把当前被授权的用户名作为查询语句的一部分来实现。 示例 3: 以下代码实现的功能与
Example 1 相同,但是附加了一个限制,以验证清单是否属于当前经过身份验证的用户。

userName = ctx.getAuthenticatedUserName();
id = Integer.decode(request.getParameter(“invoiceID”));
String query =
“SELECT * FROM invoices WHERE id = ? AND user = ?”;
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
stmt.setString(2, userName);
ResultSet results = stmt.execute();

下面是 Android 的等同内容:

PasswordAuthentication pa = authenticator.getPasswordAuthentication();
String userName = pa.getUserName();
String id = this.getIntent().getExtras().getString(“invoiceID”);
String query = “SELECT * FROM invoices WHERE id = ? AND user = ?”;
SQLiteDatabase db = this.openOrCreateDatabase(“DB”, MODE_PRIVATE,
null);
Cursor c = db.rawQuery(query, new Object[]{id, userName});

通俗来讲,参数不能直接对其进行使用,得进行合法后进行使用或者不能直接对数据进行访问,需要满足某种情况下才可以。示例如下:

示例1:
未处理前产生的问题
在这里插入图片描述
解决后如下
在这里插入图片描述
在这里插入图片描述
示例2:
未处理前产生的问题
在这里插入图片描述
这里解释一下,IgWebSocket.getOnlineCount()是用来判断是否有用户在线,不同项目的业务判断也会不一样。比如可以判断当前用户有无登录,当前用户有无权限等进行判断。根据自己项目来
在这里插入图片描述

子非我鱼
关注
  • 29
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Fortify屏蔽漏洞Access Control: Database
weixin_43063748的博客
06-23 9717
项目使用了Mybatis该如何屏蔽Access Control Database漏洞
oracle database value
01-22
7. **细粒度访问控制**(Fine-Grained Access Control, FGAC):允许基于复杂的业务逻辑定义权限,进一步细化对数据的访问。 8. **安全应用角色**:安全应用角色是一种特殊的角色,它仅在特定的应用上下文中有效,...
Access Control: Database数据库访问控制)2020最新相关解析及完整解决方案
qq891714047的博客
08-28 1万+
知识库:Access Control: Database数据库访问控制) 规则描述 数据库访问控制是指程序未进行恰当的访问控制,执行了一个包含用户控制主键的SQL语句,由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能。如果在一个应用中,用户能够访问他本身无权访问的功能或者资源,就说明该应用存在访问控制缺陷,也就存在越权漏洞。详见CWE ID566: Authorization Bypass Through User-C
Fortify扫描之Access Control: Database的思考
热门推荐
【欢迎关注公众号:冬瓜白】
07-21 1万+
在扫描结果文件中是这么描述的: 大概明白问题的原因是:1.数据库主键自增使用的是序列;2.在进行查询的时候有多处地方是根据主键查询的。 这样的确会出现一个问题,因为攻击者会根据后台url使用轮询的方式扫描主键,从而获取信息。...
Access Control: Database 代码安全扫描问题
weixin_44659286的博客
03-23 2656
迂回 + 拷贝 + 过滤: package com.coral3.springboot.common.utils; import org.apache.commons.lang.StringEscapeUtils; public class Detour { private String temp; public String getTemp() { return temp; } private void setTemp(String temp) {
开发安全之:Access Control: Database
irizhao的专栏
01-17 1377
为了突出显示未经验证的输入源,Fortify 安全编码规则包会对 Fortify Static Code Analyzer(Fortify 静态代码分析器)报告的问题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。任何情况下都不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录。如果没有适当的 access control,mysql_query执行一个 SQL 指令时,如果该指令包含一个受攻击者控制的主键,从而允许攻击者访问未经授权的记录。
Fortify扫描之Access Control: Database 问题修复
hjxxxxxxxxx的博客
12-12 4090
Access Control: Database
Fortify Access Control: Database
workhd的专栏
08-31 7273
项目经过扫描扫出来36个数据越权的高危漏洞,看了看这些问题和报告中给的修改建议 Access Control: Database (36 issues) Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授 权的记录。 Explanation Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据 用来指定 SQL 查询中主键的值。 示例 1: 以下
代码千万行,规范第一条
DATANGguanjunhou的博客
04-25 2511
一、变量和常量 1.变量命名要规范(小驼峰,大驼峰) 2. Value Never Read 没有使用该变量的值。赋值之后,变量或者被重新赋值,或者超出范围之外。 //错误的代码示范 r = getName(); r = getNewBuffer(buf); 修复建议:为了使代码易于理解和维护,删除不必要的赋值。 3. Local variables should not be declare...
Oracle Developer:第9章 禁止非法使用.pdf
05-07
自主性访问控制(Discretionary Access Control, DAC)是Oracle Developer中实现安全控制的关键机制。DAC允许系统管理员或拥有者设定权限,决定哪些用户或进程可以访问特定资源。此机制涵盖了SQL标准的安全性控制,...
Oracle Database 10g完全参考手册
07-22
Fine-grained Access Control(FGAC)允许更精确的权限控制,防止数据泄露。此外,Oracle 10g还支持Transparent Data Encryption(TDE),可以对表空间进行加密,确保数据在存储和传输过程中的安全性。 在开发和...
Oracle Database New Features Guide 11gRelease2(11.2)
06-17
11. **Fine-grained Access Control (FGAC)**:11g Release 2加强了行级安全性,通过Policy-Object Security提供了更细粒度的访问控制。 12. **Oracle Enterprise Manager**:管理工具也得到了更新,提供了更好的...
ASP.NET的网页代码模型及生命周期
07-28
q 视图状态虽然安全性较高,但是还是有风险,如果直接查看页面代码,可以看到相应代码。 4.4.2 控件状态 ASP.NET中还提供了控件状态属性作为在服务器往返过程中存储自定义控件中的数据的方法。在页面控件中,如果有...
代码审计问题【安全功能-访问控制-Database
weixin_42426675的博客
01-26 614
公司要求投产前进行代码审计,问题比较多,这篇文章主要解决【安全功能-访问控制-Database】问题。以上就是本地要讲的内容,后续会更新更多代码审计问题的文章。
处理项目扫描出来的一些常见漏洞bug(java相关)
最新发布
jennycisp的博客
04-12 1243
很多时候,一些项目,或许都会有一定的系统安全要求。一般常见于政府项目比较多!!!项目做完后,都需要做一些安全的扫描:包括以下方面:1.服务器安全漏洞问题扫描2.项目安全漏洞问题扫描3.中间件安全漏洞扫描(例如:mysql、oracle、redis、nacos等)那我们今天就来讲讲第2点,项目安全漏洞的场景问题!!!来,上干货!!!
gitlab漏洞系列-access control相关小结
学亮编程手记
08-19 273
gitlab漏洞系列-access control相关小结 https://www.modb.pro/db/425292
ACCESS数据库访问类封装
周尚冬的专栏
07-22 1156
 using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.WebControls;using System.Web.UI.WebControls.WebParts;using
access control: database 解决代码
05-30
以下是一个简单的示例代码,展示如何在 Python 中实现数据库访问控制: ```python import pymysql # 数据库连接参数 db_config = { 'host': 'localhost', 'port': 3306, 'user': 'root', 'password': 'password', 'database': 'test_db' } # 建立数据库连接 db = pymysql.connect(**db_config) # 获取数据库操作游标 cursor = db.cursor() # 执行 SQL 查询 sql = "SELECT * FROM users" cursor.execute(sql) # 获取查询结果集 results = cursor.fetchall() # 关闭游标和数据库连接 cursor.close() db.close() ``` 以上代码中,我们使用 pymysql 模块建立数据库连接,并使用游标对象执行 SQL 查询。在实际开发中,我们需要结合具体的业务需求,实现更加完善和安全的访问控制机制。例如,可以通过在 SQL 语句中使用 WHERE 子句来限制查询结果的范围,或者使用 ORM 框架来实现更加高级的访问控制功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

子非我鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值