Insecure Binder Configuration漏洞解决

于 2024-06-07 10:26:03 发布
阅读量413 收藏
点赞数 4
文章标签: binder spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41912225/article/details/139520072
版权

        最近公司要求上传的代码进行扫描,一扫描吓一跳。原本在controller中post传对象的接口都被扫描出Insecure Binder Configuration漏洞。类似以下接口

   @PutMapping("/course")
    public CourseBaseInfoDto modifyCourseBase(@RequestBody @Validated EditCourseDto editCourseDto) {
        return courseBaseInfoService.updateCourseBase(companyId, editCourseDto);
    }

        相信大部分同学post接口都是这样写的。

        漏洞原因是Fortify不建议在post请求中传递实体

    修复方法:在controller中添加spring的InitBinder

    @InitBinder()
    public void initBinder(WebDataBinder binder) {
        binder.setDisallowedFields(new String[]{});
    }

金鑫9527
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
​​insecure-configuration --复现
Polaroid2的博客
09-27 1614
注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关!!!
Fortify代码扫描:Mass Assignment:Insecure Binder Configuration漏洞解决方案
初阶农民工的博客
12-31 1万+
引发该漏洞一般是Controller中把对象作为参数 解决方案: 在Controller类中添加以下代码: @InitBinder() public void initBinder(WebDataBinder binder) { binder.setDisallowedFields(new String[]{}); } 参考: https://s...
解决高风险代码:Mass Assignment: Insecure Binder Configuration
qq_45752401的博客
12-13 2480
用于 JSON 和 XML 处理的库,可以采用不同的方法控制绑定过程。示例 7: 使用 Jackson 库从 JSON 文档绑定的模型可以通过不同的注释控制绑定过程,例如 @JsonIgnore。在使用 @ModelAttribute 注释参数的 Spring MVC 应用程序中,可以配置绑定器以控制应绑定的属。的一些示例: 示例 6: 使用 Oracle 的 JAXB 库从 XML 文档绑定的模型可以通过不同的注释控制绑定过程,如果某个属性不应绑定到请求,则应将其 setter 设置为私有。
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 2466
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
Java代码漏洞检测-常见漏洞与修复建议
最新发布
dzqxwzoe的博客
05-29 1644
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Vulhub中Nginx系列之CVE-2013-4547、CVE-2017-7529、Insecure-configuration、nginx_parsing_vulne 漏洞复现
weixin_41438728的博客
11-30 1372
Nginx系列漏洞复现一、Nginx 文件名逻辑漏洞(CVE-2013-4547 )漏洞复现影响版本漏洞说明漏洞利用漏洞修复Nginx越界读取缓存漏洞(CVE-2017-7529 )漏洞复现影响版本漏洞说明概念介绍漏洞利用漏洞修复配置错误导致漏洞insecure-configuration )影响版本影响说明1、CRLF注入漏洞Mistake 1. CRLF注入漏洞2、目录穿越漏洞3、add_header被覆盖nginx_parsing_vulnerability 一、Nginx 文件名逻辑漏洞(CVE-
Webgoat 笔记总结 Insecure Communication/Configuration/Storage
weixin_34416754的博客
10-08 434
Insecure Communication 不安全通信 通过抓包的工具就可以把数据包拿到手上,那么回问题就很容易知道了。实验告诫我们明文传输的危险性,使用ssl 登录 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS...
OWASP: Insecure Configuration
拾月公子
12-23 1051
OWASP: Insecure Configuration
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 3721
Fortify和checkmarx工作中的问题
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA...如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
fortify扫描问题总结
04-07
fortify扫描问题总结,系统安全类
详解HTTP Upgrade-Insecure-Requests
12-22
浏览器Upgrade-Insecure-Requests详解 搭建HTTPS服务器时经常会遇到该请求头
adbd Insecure 2.0
01-07
adbd Insecure(超级adbd)能让您在已经ROOT的设备上强制以ROOT模式运行adbd(注意,如果您运行的是第三方内核,则可能已经具备了这项功能)。如果您的设备上运行的是原生(设备制造商的)内核,那么adbd就会以...
ASP.NET配置文件Web.config 详细解释
08-29
ASP.NET 配置文件 Web.config 详细解释 ASP.NET 配置文件 Web.config 是一个 XML 文本文件,它用来储存 ASP.NET Web 应用程序的配置信息,如身份验证方式等。该文件可以出现在应用程序的每一个目录中,默认情况下会...
DVWA靶场,集成了owasp top 10漏洞
03-28
4. A4:脆弱的依赖性管理(Insecure Dependencies) - 如果应用程序使用了有已知漏洞的库或框架,攻击者可能利用这些弱点。在DVWA中,这可能表现为使用过时的PHP版本或易受攻击的库。 5. A5:安全配置错误...
关于Fortify 代码安全扫描常见问题
热门推荐
qq_33200504的博客
11-17 2万+
#Mass Assigment:Insecure Binder Configuration 问题说明: 不安全的参数绑定配置,是指我们的controller中xxxMethod(User user) 未明确指定接口所需属性,而是把整个对象所有属性暴露出去。 解决方案: 接口中入参对象未明确指定接口所需属性,而是把整个对象所有属性暴露出去。接口入参如果是某个具体对象需要使用@RequestBody标签,不需要的属性可用@JsonIgnore注解,前端接口调用时需使用标准json格式传递参数。方案参考:http
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
java由nextint()实施的随机数生成器不能抵挡加密攻击,Fortify漏洞Insecure Randomness(不安全随机数)...
weixin_39602005的博客
03-22 1729
继续对Fortify的漏洞进行总结,本篇主要针对Insecure Randomness漏洞进行总结,以下:html一、Insecure Randomness(不安全随机数)1.一、产生缘由:成弱随机数的函数是 random()。java电脑是一种具备肯定性的机器,所以不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。算法PRNG 包括两种类型:...
安装 adbd Insecure
05-09
adbd Insecure是一种应用程序,可以帮助您在Android设备上安装和运行没有通过数字签名验证的应用程序。在安装adbd Insecure之前,您需要确保您的Android设备已获取root权限,这将允许您在系统级别上进行更改。 以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金鑫9527

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值