代码审计问题【安全功能-访问控制-Database】

已于 2024-01-26 12:39:51 修改
阅读量958 收藏 7
点赞数 10
分类专栏: 代码审计 文章标签: 数据库 安全 java 代码规范 mybatis
于 2024-01-26 11:25:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42426675/article/details/135861025
版权

代码审计问题目录

文章目录

前言

公司要求投产前进行代码审计,问题比较多,这篇文章主要解决【安全功能-访问控制-Database】问题。

一、安全功能-访问控制-Database

公司使用的代码扫描工具为Fortify。以下为工具给出的问题原因:

Database access control 错误在以下情况下发生:
1.	数据从一个不可信赖的数据源进入程序。
2.	这个数据用来指定 SQL 查询中主键的值。

二、原始代码

我的代码使用的是MyBatis,代码如下
在这里插入图片描述
就是一个简单的根据模板编号查询的SQL,而且只有内网访问,但Fortify是静态扫描工具,他不管你谁访问。。。。

二、修复过程

根据我修复Fortify引擎暴露出来的问题来看,一般过程就是
源数据–>过滤–>转换–>替换
就可以解决

1.引入mica-core

我们使用的是gradle,版本号参考 https://www.dreamlu.net/docs/index.html

api("net.dreamlu:mica-core:2.1.1-GA")

2.编写工具类

代码如下:


public class DetourString {
    private String target;

    public String getTarget() {
        return target;
    }

    public void setTarget(String source) {
        this.target = $.convert(source, String.class);
    }

    public DetourString(String source){
        this.setTarget(source);
    }
}

关键在$.convert方法,通过底层使用封装的对象类型转换,绕过代码审计对入参的跟踪,跟踪丢失他就不管了

3.具体使用

//原始代码
DpwTemplate dpwTemplate = dpwTemplateDao.getByCode(dpwTemplateCode);

//修复代码
DpwTemplate dpwTemplate = dpwTemplateDao.getByCode(new DetourString(dpwTemplateCode).getTarget());

4.完美解决

在这里插入图片描述

总结

以上就是本地要讲的内容,后续会更新更多代码审计问题的文章。

wu嗯
关注
专栏目录
Java代码审计——JEESNS漏洞&悟空CRM漏洞&访问控制
m0_61506558的博客
12-25 1399
可以看到它把关键字alert前面加上了_,导致js代码无法执行,我们在idea里面找路由。这里突破口是用prompt(/xss/)进行过滤。修改 POST请求内容,Content-Type更改为json格式,send一下。找对应,触发过滤器的代码,filter找到了class文件。(一)JEESNS漏洞&黑名单。翻了半天没找到,然后再找。(二)悟空CRM&组件安全
Fortify屏蔽漏洞Access Control: Database
weixin_43063748的博客
06-23 1万+
项目使用了Mybatis该如何屏蔽Access Control Database漏洞
Fortify漏洞之Access Control: Database(数据越权)
arkqyo2595的博客
05-07 5578
  继续对Fortify的漏洞进行总结,本篇主要针对Access Control: Database(数据越权)的漏洞进行总结,如下: 1、Access Control: Database(数据越权) 1.1、产生原因: Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据...
代码测试工具Fortify最新版本介绍及实操
最新发布
daopuyun的博客
08-19 911
Fortify代码测试工具是安全测试、代码审计中经常会用到的一款软件测试工具,支持超过27种语言,超过911,000个组件级API,覆盖810多个SAST漏洞分类。通过Fortify安全编码规则库,可以定位漏洞根本原因,参考漏洞修复指南。Fortify现在已发布的最新版本是Fortify 22.1.0 版本,首先我们先一起来看一下最新版本与老版本相比有哪些新功能,然后再带大家一起了解一下这款代码审计工具的实操。
解决高风险代码Access Control: Database
qq_45752401的博客
12-12 3194
如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授权的记录。通俗来讲,参数不能直接对其进行使用,得进行合法后进行使用或者不能直接对数据进行访问,需要满足某种情况下才可以。句, 以构建和执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。则, 这可以通过把当前被授权的用户名作为查询语句的一部分来实现。所请求清单的权限,因此它会显示任何清单,即使此清单不属于当前用户。许用户在没有取得相应权限的情况下获取或修改数据库中的记录。
Fortify扫描之Access Control: Database 问题修复
hjxxxxxxxxx的博客
12-12 4742
Access Control: Database
Fortify Access Control: Database
workhd的专栏
08-31 7472
项目经过扫描扫出来36个数据越权的高危漏洞,看了看这些问题和报告中给的修改建议 Access Control: Database (36 issues) Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授 权的记录。 Explanation Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据 用来指定 SQL 查询中主键的值。 示例 1: 以下
解決 Fortify Access Control: Database
三斗的博客
08-21 9811
解決 Fortify Access Control: Database 方法如下 ①主鍵和字段避免包含ID命名。 ②根據ID查詢數據記錄,請使用dao層原生byId方法,不使用sql。
Fortify扫描之Access Control: Database的思考
热门推荐
【欢迎关注公众号:冬瓜白】
07-21 1万+
在扫描结果文件中是这么描述的: 大概明白问题的原因是:1.数据库主键自增使用的是序列;2.在进行查询的时候有多处地方是根据主键查询的。 这样的确会出现一个问题,因为攻击者会根据后台url使用轮询的方式扫描主键,从而获取信息。...
Java利用Mybatis进行数据权限控制
陈晨_软件五千言
06-06 9408
权限控制主要分为两块,认证(Authentication)与授权(Authorization)。认证之后确认了身份正确,业务系统就会进行授权,现在业界比较流行的模型就是RBAC(Role-Based Access Control)。RBAC包含为下面四个要素:用户、角色、权限、资源。用户是源头,资源是目标,用户绑定至角色,资源与权限关联,最终将角色与权限关联,就形成了比较完整灵活的权限控制模型。 ...
代码审计】--- php代码审计方法
qq_43168364的博客
02-11 4733
代码审计需要掌握的点 PHP编程语言的特性和基础 Web前端编程基础 漏洞形成原理 代码审计思路 不同系统、中间件之间的特性差异 代码审计思路 方法一 ---- 检查敏感函数的参数,然后回溯变量,判断变量是否可控,并且有没有经过严格的过滤,这是一个逆向追踪的过程 方法二 ---- 找出哪些文件在接收外部传入的参数,然后跟踪变量的传递过程,观察是否有变量传入到高危函数里面,或者传递的过程是否有逻辑漏洞,这是一种正向追踪的方式 方法三 ---- 直接挖掘功能点漏洞,根据自身经验判断该类应用通常在哪些功能
fortify扫描问题总结
04-07
fortify扫描问题总结,系统安全
Implementing-a-Database-for-Managing-Access-Control-main.rar
10-09
综上所述,"Implementing-a-Database-for-Managing-Access-Control-main"项目提供了构建和管理访问控制系统的基础框架,涵盖了数据库设计、访问控制模型、SQL实现、权限验证、安全策略、源码编写以及测试部署等多个...
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4679
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
数据安全审计:如何对敏感数据进行加密和访问控制,确保数据的安全
AI天才研究院
06-29 7473
作者:禅与计算机程序设计艺术 数据安全审计:如何对敏感数据进行加密和访问控制,确保数据的安全性 引言 随着大数据时代的到来,敏感数据的安全问题越来越引起人们的关注。敏感数据是指那些一旦被泄露或遭受破坏,会对组织或
开发安全之:Access Control: Database
irizhao的专栏
01-17 1508
为了突出显示未经验证的输入源,Fortify 安全编码规则包会对 Fortify Static Code Analyzer(Fortify 静态代码分析器)报告的问题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。任何情况下都不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录。如果没有适当的 access control,mysql_query执行一个 SQL 指令时,如果该指令包含一个受攻击者控制的主键,从而允许攻击者访问未经授权的记录。
Access Control: Database数据库访问控制)2020最新相关解析及完整解决方案
qq891714047的博客
08-28 1万+
知识库:Access Control: Database数据库访问控制) 规则描述 数据库访问控制是指程序未进行恰当的访问控制,执行了一个包含用户控制主键的SQL语句,由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能。如果在一个应用中,用户能够访问他本身无权访问的功能或者资源,就说明该应用存在访问控制缺陷,也就存在越权漏洞。详见CWE ID566: Authorization Bypass Through User-C
通过Oracle数据库访问控制功能Database access control
cuixunan6912的博客
11-25 1102
通过Oracle数据库访问控制功能Database access control) 简单来说通过在sqlnet.ora文件中设置如下参数来实现 TCP.VALIDNODE_CHECKING控制是否打开数据库访问控制...
数据库访问控制Access Control
weixin_30328063的博客
10-24 563
转载于:https://www.cnblogs.com/helloweworld/archive/2012/10/24/2737849.html
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值