Fortify漏洞之Access Control: Database(数据越权)

最新推荐文章于 2024-10-16 11:14:53 发布
最新推荐文章于 2024-10-16 11:14:53 发布
阅读量2.4k 收藏 2
点赞数
文章标签: 数据库 java
原文链接:http://www.cnblogs.com/meInfo/p/9004667.html
版权
本文深入探讨了Access Control: Database漏洞,解释了数据越权产生的原因,如不可信赖的数据源进入程序并指定SQL查询的主键值。提供了一个示例展示问题所在,并提出了修复方案,强调应在应用程序和数据库层进行访问控制,限制用户仅能访问其有权的数据,同时给出了加强数据权限限定的建议。
摘要由CSDN通过智能技术生成

  继续对Fortify的漏洞进行总结,本篇主要针对 Access Control: Database(数据越权)的漏洞进行总结,如下:

1、Access Control: Database(数据越权)   

1.1、产生原因:

Database access control 错误在以下情况下发生:

1.      数据从一个不可信赖的数据源进入程序。

2.      这个数据用来指定 SQL 查询中主键的值。

 

示例 1:以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以构建和执行用于搜索与指定标识符相匹配的清单的 SQL 查询。您可以从与当前被授权用户有关的所有清单中选择这些标识符。

...

id = Integer.decode(request.getParameter("invoiceID"));

String query = "SELECT * FROM invoices WHERE id = ?";

PreparedStatement stmt = conn.prepareStatement(query);

stmt.setInt(1, id);

ResultSet results = stmt.execute();

...

 

  问题在于开发者没有考虑到所有可能出现的 id 值。虽然接口生成了一个当前用户的标识符清单,但是攻击者可以绕过这个接口,从而获取所需的任何清单。因为此例中的代码没有执行检查,确保用户有权访问需要的清单ÿ

最低0.47元/天 解锁文章
weixin_30872867
关注
FortifyVulnerabilityExporter:将Fortify漏洞数据导出到GitHub,GitLab,SonarQube等
04-07
Fortify漏洞出口商 介绍 使用快速构建安全软件。 Fortify提供了端到端应用程序安全性解决方案,可以灵活地测试本地和按需扩展和覆盖整个软件开发生命周期。 借助Fortify,您可以及早发现安全问题并以DevOps的速度...
Fortify扫描之Access Control: Database 问题修复
hjxxxxxxxxx的博客
12-12 4821
Access Control: Database
Fortify屏蔽漏洞Access Control: Database
weixin_43063748的博客
06-23 1万+
项目使用了Mybatis该如何屏蔽Access Control Database漏洞
Access Control: Database数据库访问控制)2020最新相关解析及完整解决方案
热门推荐
qq891714047的博客
08-28 1万+
知识库:Access Control: Database数据库访问控制) 规则描述 数据库访问控制是指程序未进行恰当的访问控制,执行了一个包含用户控制主键的SQL语句,由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能。如果在一个应用中,用户能够访问他本身无权访问的功能或者资源,就说明该应用存在访问控制缺陷,也就存在越权漏洞。详见CWE ID566: Authorization Bypass Through User-C
Fortify Access Control: Database
workhd的专栏
08-31 7507
项目经过扫描扫出来36个数据越权的高危漏洞,看了看这些问题和报告中给的修改建议 Access Control: Database (36 issues) Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授 权的记录。 Explanation Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据 用来指定 SQL 查询中主键的值。 示例 1: 以下
解决高风险代码:Access Control: Database
qq_45752401的博客
12-12 3316
如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授权的记录。通俗来讲,参数不能直接对其进行使用,得进行合法后进行使用或者不能直接对数据进行访问,需要满足某种情况下才可以。句, 以构建和执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。则, 这可以通过把当前被授权的用户名作为查询语句的一部分来实现。所请求清单的权限,因此它会显示任何清单,即使此清单不属于当前用户。许用户在没有取得相应权限的情况下获取或修改数据库中的记录。
开发安全之:Access Control: Database
irizhao的专栏
01-17 1522
为了突出显示未经验证的输入源,Fortify 安全编码规则包会对 Fortify Static Code Analyzer(Fortify 静态代码分析器)报告的问题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。任何情况下都不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录。如果没有适当的 access control,mysql_query执行一个 SQL 指令时,如果该指令包含一个受攻击者控制的主键,从而允许攻击者访问未经授权的记录。
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
fortify-integration-sonarqube:Fortify SonarQube插件
05-27
器通过将Fortify on Demand和Fortify软件安全中心(SSC)的漏洞数据导出到可以由SonarQube导入的文件中来提供替代集成。 此轻量级集成基于SonarQube 7.2引入的,专门针对导入第三方分析结果。 确实有一些限制。 下...
fortify安全基础知识 不同语言软件安全漏洞
05-27
Fortify作为一款强大的静态代码分析工具,被广泛用于检测不同编程语言的软件安全漏洞。本篇将详细介绍软件安全的基础知识,以及Java、CC++和dotNET这三种语言的软件安全漏洞类型。 首先,软件安全基础知识主要包括...
Fortify-XML-Converter:将 Fortify XML 文档转换为 Excel 电子表格
06-28
Fortify-XML-Converter 将 Fortify XML 文档转换为有用的格式。 GPLv2 输出 xlsx、csv 或漂亮的 xml 解析 DOM Xml 和 csv 输出可通过管道传输用法 usage: fxml2xlsx.py [-h] [--version] [--debug] --input INPUT [-...
代码千万行,规范第一条
菜鸟成长笔记
04-25 2595
一、变量和常量 1.变量命名要规范(小驼峰,大驼峰) 2. Value Never Read 没有使用该变量的值。赋值之后,变量或者被重新赋值,或者超出范围之外。 //错误的代码示范 r = getName(); r = getNewBuffer(buf); 修复建议:为了使代码易于理解和维护,删除不必要的赋值。 3. Local variables should not be declare...
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 4202
Fortify和checkmarx工作中的问题
Fortify Access Control
安全新司机
10-05 955
攻击者访问未授权的数据
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 2981
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
解決 Fortify Access Control: Database
三斗的博客
08-21 9852
解決 Fortify Access Control: Database 方法如下 ①主鍵和字段避免包含ID命名。 ②根據ID查詢數據記錄,請使用dao層原生byId方法,不使用sql。
Rdis的应用,示例,四种模式单机模式、主从模式、哨兵模式、集群模式
最新发布
weixin_66568937的博客
10-16 667
为此, Redis 提供了复制(replication)功能,可以实现当一台数据库中的数据更新后,自动将更新的数据同步到其他数据库上。主从模式在很多系统设计时都会考虑,一个master挂在多个slave节点,当master服务宕机,会选举产生一个新的master节点,从而保证服务的高可用性。从上面很容易就想到一个问题,既然主从复制,意味着master和slave的数据都是一样的,有数据冗余问题。替换原来的故障节点。刚刚提到了,主从模式,当主节点宕机之后,从节点是可以作为主节点顶上来,继续提供服务的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值