java json injection_在Java中强化JSON注入错误

最新推荐文章于 2024-01-17 11:05:59 发布
最新推荐文章于 2024-01-17 11:05:59 发布
阅读量472 收藏
点赞数
文章标签: java json injection
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42565652/article/details/114534026
版权

我从客户端获取SUBSCRIPTION_

JSON,我将其转换为String,然后使用gson库将其设置为Model Object.在Fortify安全性上运行代码时,它在下面的代码中给出了Json注入错误,并带有以下消息:

这是错误:

On line 159 of ActionHelper.java, the method jsonToObject() writes unvalidated input into JSON. This call could allow an attacker to inject arbitrary elements or attributes into the JSON entity.The method writes unvalidated input into JSON. This call could allow an attacker to inject arbitrary elements or attributes into the JSON entity.

Explanation

JSON injection occurs when:

1. Data enters a program from an untrusted source.

In this case the data enters at getString() in **SubscriptionAction.java** at line 355.

2. The data is written to a JSON stream.

In this case the JSON is written by fromJson() in **ActionHelper.java** at line 159.

SubscriptionAction.java

final String subscriptionJson = subscriptionForm.getString(SUBSCRIPTION_JSON);

ActionHelper.java

public static T jsonToObject(final String jsonString, final Class className) {

T object = null;

if (StringUtils.isNotBlank(jsonString)) {

final Gson gson = (Gson) BeanLocator.getInstance().getBean(GSON);

object = gson.fromJson(jsonString, className);

}

return object;

}

SUBSCRIPTION_JSON – >

{

"subscriptions": [{

"attributeId": "1",

"items": [{

"strId": "ALL",

"nodeType": "G"

}, {

"strId": "VO_ENTRY_TIMING_DELAY",

"nodeType": "L"

}, {

"strId": "O_INVALID",

"nodeType": "L"

}, {

"strId": "O_LINE_INVALID",

"nodeType": "L"

}, {

"strId": "V_INVALID",

"nodeType": "L"

}, {

"strId": "V_ADDRESS_INVALID",

"nodeType": "L"

}]

}, {

"attributeId": "2001",

"items": [{

"strId": "OSTBU",

"nodeType": "L"

}]

}]

}

Han H
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java解析php函数json_encode unicode 编码问题
10-22
主要介绍了java解析php函数json_encode unicode 编码问题,需要的朋友可以参考下
java json injection_【缺陷周话】第40期:JSON 注入
weixin_31899235的博客
02-24 945
1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍请参...
java json injection_JSON Injection解决方法
weixin_31264565的博客
02-19 1258
JSON Injection 解决:加 JsonSanitizer.sanitize() 进行校验(这个校验貌似可以解决很多Json相关的Fortify Issue);com.mikesamueljson-sanitizer1.0-----------------------------------------------------------------------------Issue 描述...
Gson的fromJson()方法
热门推荐
alexxu1988的博客
06-29 3万+
Gson提供了fromJson()方法来实现从Json相关对象到java实体的方法。在日常应用,我们一般都会碰到两种情况,转成单一实体对象和转换成对象列表或者其他结构。先来看第一种:比如json字符串为:[{“name”:”name0”,”age”:0}]Person person = gson.fromJson(str, Person.class);提供两个参数,分别是json字符串以及需要转换
[20][03][05] JSON Injection
安全新司机
06-16 991
文章目录1. 问题描述2. 问题场景3. 解决方案3.1 JsonSanitizer.sanitize 1. 问题描述 该方法会将未验证的输入写入 JSON,攻击者可以利用此调用将任意元素或属性注入 JSON 实体 2. 问题场景 JSON Injection 会在以下情况出现 数据从一个不可信赖的数据源进入程序 将数据写入到 JSON 流 应用程序通常使用 JSON 来存储数据或发送消息,当用于存储数据时,JSON 通常会像缓存数据那样处理,而且可能包含敏感信息.当用于发送消息时,JSON 经常与
java json injection,JavaJSON注入强化错误
weixin_30425639的博客
02-19 240
I am getting SUBSCRIPTION_JSON from client which I am converting it to String and then setting it to Model Object using gson library. On running the code on Fortify security, It is giving me Json inje...
java json injection_JSON相关漏洞(Hijacking+Injection)挖掘技巧及实战案例全汇总
weixin_36062835的博客
02-19 997
本文一是在为测试过程遇到json返回格式时提供测试思路,二是几乎所有国内的资料都混淆了jsonjsonp的区别——这是两种技术;以及jsonjsonphijacking的区别——这是两个漏洞,这里做个解释。1、概念1)什么是jsonjson(JavaScript Object Notation, JS 对象标记) 是一种轻量级的数据交换格式。JSON最常用的格式是对象的键值对,例如下面这样...
JSON.zip_JSON java_JSON读写_lxx jav lxx
09-14
JSON 读写,在网页显示数据,有jar包,完整项目。
JSON.rar_JSON_java programming_json vc_perl json_python
09-24
介绍:JSON(JavaScript Object Notation) 是... JSON采用完全独立于语言的文本格式,但是也使用了类似于C语言家族的习惯(包括C, C++, C#, Java, JavaScript, Perl, Python等)。这些特性使JSON成为理想的数据交换语言
json.jar.zip_JSON_JSON java_json
09-23
json.jar包,java解析json数据所需要的json包。
Json.zip_JSON_java json
09-19
JSON的简单操作JSONArray,JSONObject
开发安全之:JSON Injection
最新发布
irizhao的专栏
01-17 1080
将 %22,%22role%22:%22 附加到其用户名,并将该值传递到 username URL 参数,则最终保存到 ~/user_info.jsonJSON 将为: { "role":"default", "username":"mallory", "role":"admin", "password":"Evil123!在更为严重的情况下,例如涉及 JSON Injection,攻击者可能会插入无关的元素,从而允许对 JSON 文档或请求对业务非常关键的值执行可预见操作。
web安全--JSON 注入
fabao007的专栏
05-02 4660
1、JSON 注入 JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍...
https防止注入_【缺陷周话】第40期:JSON 注入
weixin_39861955的博客
11-20 338
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。未经许可,禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。代码审计是使用静态分析发现源代码安全缺陷的方法,辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并已成为安全开发生命周期SDL 和DevS...
JSON注入与CSRF漏洞原理与复现
gental_z的博客
12-14 1672
JSON注入与CSRF漏洞原理与复现 1、 JSONJavaScript Object NotationJavaScript对象表示法 2、 它是一种数据格式,而不是一种编程语言 3、 JSON的语法: 有三种类型的值:简单值,对象,数组; 关于JSON的写法: 表示对象(使用JS的对象字面量书写): { “name”:”John”, “age”:40 } (属性名必须使用双引号,末尾没有分号...
web渗透测试----16、JSON注入
七天
06-22 3411
文章目录一、JSON简介二、JSON注入三、JSON注入的防御 一、JSON简介 1、简介 JSON是一种轻量级的数据交换格式,易于阅读和编写,同时也易于机器解析和生成。它是基于Javascript的一个子集,JSON采用完全独立于语言的文本格式,但是也使用类似于C语言家族的习惯(C、C#、C++、JavaJavascript、Perl、Python等都可以使用JSON),这些特性使JSON成为理想的数据交换语言。 JSON可以将Javascript的对象转换为字符串,然后在函数、网络之间传递这个字
Java防止Xss注入json_【知识点】6个XSS的防御小技巧
weixin_39580041的博客
11-20 439
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。作者:la...
JS解决JSON
小甜甜专栏
12-11 567
1 http://blog.csdn.net/love__coder/article/details/7532616 var smsTypeDesc = {"4":"回访短信","3":"邮件短信","aa":"测试短信"}; function EnumaKey(){ for(var key in smsTypeDesc){ alert(key); }
java json injection_JSON注入—Web安全深度剖析(7)
weixin_39713335的博客
02-19 496
10.3.3 JSON注入JSON(JavaScript Object Notation)是一种轻量级的数据交换格式。它基于JavaScript的一个子集。JSON采用完全独立于语言的文本格式,但是也使用了类似于C语言家族的习惯(C、C++、C#、JavaJavaScript、Perl、Python等语言都可以使用JSON),这些特性使JSON成为理想的数据交换语言,易于开发人员阅读和编写,同...
json 查询 java_ES在java采用原生json查询
05-30
Java使用原生JSON查询,你可以使用Java自带的JSON库,例如org.json、Jackson、Gson等。以下是一个使用org.json库进行JSON查询的示例代码: ```java import org.json.JSONArray; import org.json.JSONObject; public class JsonQueryExample { public static void main(String[] args) { String jsonStr = "{\"name\":\"John\", \"age\":30, \"cars\":[\"Ford\", \"BMW\", \"Fiat\"]}"; JSONObject jsonObj = new JSONObject(jsonStr); // Querying a single value String name = jsonObj.getString("name"); int age = jsonObj.getInt("age"); System.out.println("Name: " + name); System.out.println("Age: " + age); // Querying an array JSONArray cars = jsonObj.getJSONArray("cars"); for (int i = 0; i < cars.length(); i++) { String car = cars.getString(i); System.out.println("Car " + (i+1) + ": " + car); } } } ``` 在这个示例代码,首先我们将一个JSON字符串转换为JSONObject对象。然后,我们可以使用`getString()`和`getInt()`方法查询对象的属性值,或使用`getJSONArray()`方法查询数组类型的属性值。查询结果可以进一步处理或打印出来。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值