Fortify屏蔽漏洞Access Control: Database

已于 2022-06-24 18:14:50 修改
阅读量1.1w 收藏 12
点赞数 9
文章标签: 数据库 mybatis
于 2022-06-23 21:38:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43063748/article/details/125435067
版权
本文介绍了如何处理Fortify报告的Access Control: Database漏洞,特别是当项目使用Mybatis时。尽管按照Fortify的建议添加了权限控制,但仍无法消除扫描警告。文章提出了解决这一问题的四种方案,包括使用mybatis-plus的QueryWrapper、创建基类、扩展Mybatis的namespace以及自定义SqlSessionFactoryBean。这些方法旨在规避扫描工具的检测,同时确保权限控制的正确实施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Fortify漏洞Access Control: Database(数据越权)

如果项目使用的是Mybatis,按照Fortify给出的修复方案,给SQL中添加类似USER这样的查询条件来控制权限,扫描结果中依旧无法去除此漏洞。

理解此漏洞要表述的含义,无论我们使用何种方式只要处理了并且测试通过就可以了。

吐槽一下: 代码检查工具是按照固定规则来检查的,规则是死的人是活的的,实现方式千变万化,岂是扫描工具就能涵盖的,然而有些客户强制要求漏洞扫描结果为0,这里真的很想骂人。

为了满足客户这些奇葩要求,现在给出下面几种解决方案:

  • 方案一:使用mybatis-plus的QueryWrapper来解决问题
  1. 添加依赖mybatis-plus-boot-starter
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.3.4</version>
        </dependency>
  1. 编写代码

Service.java代码

            // List<SystemActorRoleDto002> list = systemActorRole001Mapper.selectRoleModule(entity.getRoleId());
            QueryWrapper<SystemActorRoleDto002> queryWrapper = new QueryWrapper<>();
            queryWrapper.eq("role_id", entity.getRoleId());
            List<SystemActorRoleDto002> list = systemActorRole001Mapper.selectRoleModuleByWrapper(queryWrapper);

Mapper.java代码

    // List<SystemActorRoleDto002> selectRoleModule(@Param("roleId") String roleId);
    List<SystemActorRoleDto002> selectRoleModuleByWrapper(@Param("ew") QueryWrapper queryWrapper);
  • 方案二:写一个基类,提供一些公共方法,在这些方法中调用SqlSession对应方法来操作数据库。

MybatisBaseDao

public interface MybatisBaseDao {
   
    default <T> T findById(String statement, Object parameter) {
   
        return SqlSessionUtils.getSqlSession(SpringContextUtil.getBean(SqlSessionFactory.class)).selectOne(statement, parameter);
    }
    default <T> List<T> findBatchById(String statement,
最低0.47元/天 解锁文章
何阳阳
关注
mysql越权漏洞_Fortify漏洞Access Control: Database(数据越权)(示例代码)
weixin_32818365的博客
02-19 3146
继续对Fortify漏洞进行总结,本篇主要针对Access Control: Database(数据越权)的漏洞进行总结,如下:1、Access Control: Database(数据越权)1.1、产生原因:Database access control 错误在以下情况下发生:1. 数据从一个不可信赖的数据源进入程序。2. 这个数据用来指定 SQL 查询中主键的值。示例 ...
代码审计问题【安全功能-访问控制-Database
weixin_42426675的博客
01-26 1266
公司要求投产前进行代码审计,问题比较多,这篇文章主要解决【安全功能-访问控制-Database】问题。以上就是本地要讲的内容,后续会更新更多代码审计问题的文章。
Fortify Access Control: Database
workhd的专栏
08-31 7758
项目经过扫描扫出来36个数据越权的高危漏洞,看了看这些问题和报告中给的修改建议 Access Control: Database (36 issues) Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授 权的记录。 Explanation Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据 用来指定 SQL 查询中主键的值。 示例 1: 以下
解決 Fortify Access Control: Database
三斗的博客
08-21 1万+
解決 Fortify Access Control: Database 方法如下 ①主鍵和字段避免包含ID命名。 ②根據ID查詢數據記錄,請使用dao層原生byId方法,不使用sql。
fortify安全扫描Access Control: Database问题解决
最新发布
毅香雪海的博客
02-27 910
fortify安全扫描Access Control: Database问题解决
Access Control: Database 代码安全扫描问题
weixin_44659286的博客
03-23 2859
迂回 + 拷贝 + 过滤: package com.coral3.springboot.common.utils; import org.apache.commons.lang.StringEscapeUtils; public class Detour { private String temp; public String getTemp() { return temp; } private void setTemp(String temp) {
Fortify漏洞Access Control: Database(数据越权)
arkqyo2595的博客
05-07 5851
  继续对Fortify漏洞进行总结,本篇主要针对Access Control: Database(数据越权)的漏洞进行总结,如下: 1、Access Control: Database(数据越权) 1.1、产生原因: Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据...
Fortify扫描之Access Control: Database 问题修复
hjxxxxxxxxx的博客
12-12 5348
Access Control: Database
解决高风险代码:Access Control: Database
qq_45752401的博客
12-12 4385
如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授权的记录。通俗来讲,参数不能直接对其进行使用,得进行合法后进行使用或者不能直接对数据进行访问,需要满足某种情况下才可以。句, 以构建和执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。则, 这可以通过把当前被授权的用户名作为查询语句的一部分来实现。所请求清单的权限,因此它会显示任何清单,即使此清单不属于当前用户。许用户在没有取得相应权限的情况下获取或修改数据库中的记录。
Fortify扫描之Access Control: Database的思考
热门推荐
【欢迎关注公众号:冬瓜白】
07-21 1万+
在扫描结果文件中是这么描述的: 大概明白问题的原因是:1.数据库主键自增使用的是序列;2.在进行查询的时候有多处地方是根据主键查询的。 这样的确会出现一个问题,因为攻击者会根据后台url使用轮询的方式扫描主键,从而获取信息。...
开发安全之:Access Control: Database
irizhao的专栏
01-17 1700
为了突出显示未经验证的输入源,Fortify 安全编码规则包会对 Fortify Static Code Analyzer(Fortify 静态代码分析器)报告的问题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。任何情况下都不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录。如果没有适当的 access control,mysql_query执行一个 SQL 指令时,如果该指令包含一个受攻击者控制的主键,从而允许攻击者访问未经授权的记录。
有关RDBAC(Reflective Database Access Control Policies)的课件
04-10
What is “Reflective DataBase Access Control” (RDBAC) ? “reflective” : enable a system (namely, a set of data objects) to reason about itself. The policy itself contains a database query
Fortify漏洞Access Control: Database
08-23
Fortify漏洞中的"Access Control: Database"是一个安全漏洞类别,它通常指的是应用程序数据库访问控制存在缺陷。这类漏洞允许未授权的用户以不同的方式访问数据库中的数据,可能是通过未正确验证的查询语句、直接SQL...
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 4800
Fortify和checkmarx工作中的问题
Access Control: Database数据库访问控制)2020最新相关解析及完整解决方案
qq891714047的博客
08-28 1万+
知识库:Access Control: Database数据库访问控制) 规则描述 数据库访问控制是指程序未进行恰当的访问控制,执行了一个包含用户控制主键的SQL语句,由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能。如果在一个应用中,用户能够访问他本身无权访问的功能或者资源,就说明该应用存在访问控制缺陷,也就存在越权漏洞。详见CWE ID566: Authorization Bypass Through User-C
Fortify Access Control
安全新司机
10-05 1037
攻击者访问未授权的数据
数据库访问控制Access Control
weixin_30328063的博客
10-24 618
转载于:https://www.cnblogs.com/helloweworld/archive/2012/10/24/2737849.html
oracle 数据访问控制,通过Oracle数据库访问控制功能(Database access control
weixin_35082950的博客
04-03 377
通过Oracle数据库访问控制功能(Database access control)简单来说通过在sqlnet.ora文件中设置如下参数来实现TCP.VALIDNODE_CHECKING控制是否打开数据库访问控制功能。TCP.EXCLUDED_NODES 黑名单拒绝访问的IPTCP.INVITED_NODES 白名单允许访问的IP举例:TCP.VALIDNODE_CHECKING...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值