企业通用报表平台代码审计

于 2024-08-14 19:58:06 发布
阅读量364 收藏 12
点赞数 6
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45653478/article/details/141198808
版权

1 第三方组件漏洞审计

本项目是基于Maven构建的。对于Maven项目,我们首先从 pom.xml 文件开始审计引入的第三方组件是

否存在漏洞版本,然后进一步验证该组件是否存在漏洞点。

本项目引入的组件以及组件版本整理如下。

组件名称 组件版本
SpringBoot 2.2.4.RELEASE
Fastjson 1.2.60
xxl-job-core 2.1.2
junit 4.12
commons-lang3 3.7
presto-jdbc 0.225
druid 1.1.17
mybatis 2.1.1

2 sql注入代码审计

2.1 代码审计

本项目使用了Mybatis,来定义SQL。我们主要查看Myabatis中 xxxMapper.xml 文件中是否存在使用$ 拼接SQL语句的情况。使用 $ 是直接拼接SQL语句的,未进行转义。

直接搜索${ 符号

可以发现在src/main/resources/mybatis-mapper/mysql/IgReportMapper.xml中,有一个未预处理的sql

之后往上追到dao层,com/lyl/igreport/dao/mysql/IgReportDao.java,可以发现queryMysql()方法

继续追到Service层,com/lyl/igreport/service/impl/CommonReportServiceImpl.java可以发现在36行通过@Autowired给mysqlDao自动注入,最后在(queryDataSourceData方法内)55行进行调用dao层中的queryMysql()方法。

最低0.47元/天 解锁文章
乐队1
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全学习——代码审计入门
weixin_43815032的博客
01-28 681
一、常见的代码审计工具 1、Fortify SCA Fortify SCA是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结 2、Checkmarx CxSuite Checkmarx CxSuite的扫描结果可以以静态报表形式展示,也可以通过可以对软件安全漏洞和质量缺陷在代码的运 3、3...
巧用自定义注解,一行代码解决审计日志
m0_68064743的博客
03-27 1283
一、简介 任何一个软件系统,都不可避免的会碰到【信息安全】这个词,尤其是对于刚入行的新手,比如我,我刚入行的时候,领导让我做一个数据报表导出功能,我就按照他的意思去做,至于谁有权限操作导出,导出的数据包含敏感信息应该怎么处理,后端接口是不是做了权限控制防止恶意抓取,这些问题我基本上不关心,我只想一心一意尽快实现需求,然后顺利完成任务交付。 实际上,随着工作阅历的增加,你会越来越能感觉到,实现业务方提的需求,只是完成了软件系统研发中的【能用】要求;服务是否【可靠】可能需要从架构层和运维方面去着手解决;至于是否
代码审计企业级进销存管理系统
qq_44029310的博客
06-10 576
企业级进销存管理系统,采用SpringBoot+Shiro+MyBatis+EasyUI编写,Maven构建。源码可访问github自行下载:https://github.com/wangjiangfei/JXC。
浅谈低代码平台
超越梦想,一起飞!!!
12-04 3493
浅谈低代码平台什么低代码平台?低代码平台的产品列表什么低代码平台? 最近几年低代码平台是一个很火的概念;所谓的低代码平台,笔者的理解是基于现有的平台和技术,只需要少量代码就能快速开发一款应用程序或者系统;开发出来的应用系统也许业务很简单,业务业务很复杂。因为有少量的代码需要开发,所以其还是要求使用低代码平台的开发人员,有一定的软件开发技能;所以一个方法是对现有的业务人员进行软件工程的培训,让业务人员根据自己对业务的理解去开发系统;但是我觉得这条路不好走。隔行如隔山。另外一方面就是降低对高级程序员的要求,
【云驻共创】华为云之Astro低代码平台的五大场景应用
热门推荐
时光隧道
10-18 5万+
低代码是一种软件开发方法,它使用可视化编程界面和图形化用户界面,通过简化和自动化开发过程来大大减少编码工作量。低代码使得非专业开发人员也能够轻松构建应用程序,同时也加速了专业开发人员的开发速度。低代码平台通常提供了预制的组件和模块,使得开发者可以更快地构建应用程序,而不需要从头开始编写所有代码。这使得低代码成为企业数字化转型的一种重要工具。华为云Astro低代码平台是华为云推出的一种全新的开发平台,旨在帮助企业快速构建应用程序和业务流程,以实现更高效的数字转型。
企业集团合并财务报表
iReport开源报表
12-25 1424
方案概述 由于各个集团的状况不同,现有很多集团企业还使用比较落后的手工方法去进行合并报表的编制,好一些的能够简单的利用Excel等工具来进行,这种方法要花大量的时间在数据收集、数据校验、数据核对上,周期比较长,编制的合并报表准确性上不能够保证。整个合并报表编制工作过程中投入了大量的人力物力,但从效果上来看也比较差强人意。纵观国内各集团公司,我们可以发现:即使在实现了财务信息化的企业,他们合并...
低代码无代码平台的发展趋势
weixin_43156294的博客
04-20 852
低代码(Low-Code)和无代码(No-Code)平台是软件开发领域的两个概念,它们允许用户通过图形界面和简化的编程模型来创建应用程序,而无需深入了解复杂的编程语言和开发环境。低代码和无代码平台作为现代软件开发领域的创新力量,正以前所未有的速度重塑企业的数字化转型之路。它们不仅降低了技术门槛,使非技术人员也能参与到应用程序的设计与构建中,而且极大地提升了开发效率,顺应了数字化时代对企业敏捷性、快速响应能力及成本控制的严苛要求。
企业级开发平台的演进
世开 Coding
10-21 1168
RAD 和 LCDP 分别是什么?RAD 和 LCDP 又是什么关系?
什么是零代码开发平台,为什么企业IT应该重视?
mingdaoyun的博客
09-24 2709
文/明道云创始人任向晖 零代码软件开发并非一个全新的概念。早在1992年,最早的零代码企业软件构建工具就出现在了微软的Office套件中,很多企业极客都记得那个叫做Access的数据库应用。只不过,当年的Access只是一个单机版的应用,数据共享依赖繁复的企业网络,而且它也只是提供了一个关系数据库的可视化界面,可以加快构筑业务数据表,关联关系以及用于输入输出的表单和报表。 ** 逐步上位的aPa...
管理系统系列--SpringBoot+Vue 企业级 智能通用报表 调度平台 管理系统.zip
02-25
该压缩包文件“管理系统系列--SpringBoot+Vue 企业级 智能通用报表 调度平台 管理系统.zip”显然包含了构建一个高效、智能化的企业级管理系统的资源。这个系统的核心技术栈是SpringBoot和Vue.js,两者都是当前IT行业...
通用固定资产管理系统源代码
06-29
这个系统设计得相对通用,适用于各种规模的企业或机构,以帮助它们有效地管理其固定资产,提高资产利用率,减少资产流失,并确保符合财务报告的要求。 在C# Winform框架下开发,该系统利用了.NET Framework的强大...
Asp.net通用OA系统源代码
04-10
Asp.Net通用OA系统源代码是一个面向企业日常办公的综合管理系统,它涵盖了多个核心功能模块,旨在提升企业的信息化管理水平和工作效率。这个系统的核心特点是其通用性,能够适应不同行业的多样化需求,为企业提供...
南大通用GBase数据库客户端管理软件GBaseDataStudio
10-29
9. **兼容性良好**:除了支持GBase自家的数据库系统之外,还能与其他主流关系型数据库如MySQL、Oracle等进行一定程度上的兼容,方便用户进行跨平台操作。 10. **扩展性**:支持插件式架构,可通过安装第三方插件来...
AIOps平台在腾讯的升级之路
01-27
提供原子工具与脚手架,支持企业定制化工具和流程,实现PaaS平台的灵活性和标准化。 【立体化监控体系】腾讯运维团队重视技术数据的使用,构建立体化监控体系,关注监控覆盖率、告警时效性和准确性,以及运营中的...
网络安全知识渗透测试
m0_66268916的博客
08-09 588
渗透测试是一种模拟网络攻击,用于识别漏洞并制定规避防御措施的策略。笔测试还有助于评估组织的合规性、提高员工对安全协议的认识、评估事件响应计划的有效性并确保业务连续性。渗透测试的第一步是收集有关目标网络的信息,了解网络拓扑、主机信息、服务信息、用户账户等,以便制定针对性的攻击策略。成功攻破目标系统后,需要进行后渗透测试,巩固攻击成果,并获取更多信息。根据信息收集和漏洞扫描的结果,选择合适的攻击方法,对目标网络进行渗透测试。完成渗透测试后,需要对测试结果进行分析,评估内网的整体安全状况。
《密码编码学与网络安全原理与实践》第四章第六章第七章 对称加密体制
m0_57291352的博客
08-06 1048
对称加密包括分组密码和流密码分组密码:信息被分块(block)进行加密和解密,连续的明文元素使用相同的密钥K来加密,密文C=c1c2…=EK(m1)EK(m2)…C =c_1c_2…=E_K(m_1)E_K(m_2)…C=c1​c2​…=EK​(m1​)EK​(m2​)…。分组密码可以看作是一个字符长度很大代换——如64比特或更多。大部分的分组对称密码都基于Feistel结构。可逆变换是必要条件。设计”安全”的密码算法不难,只要使用足够多的轮数就可以,但降低速度,因此所有问题就是平衡问题。流密码:流密码中按
网络安全(黑客)—自学手册
dexi113的博客
08-05 1643
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
网络安全流程规范文件解读(安全专业L1级)
最新发布
qyq88888的专栏
08-11 993
网络运行重大故障定义涵盖了现网各类重要业务和设备:1.重大业务故障:话音业务、数据业务、互联互通业务2.重大设备故障:传输网、承载网(IP承载网及CMNET)、无线接入网、核心网、语音增值平台、数据网、网管网、电源、空调。3.TD网络重大故障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值