绑定敏感字段

最新推荐文章于 2024-05-17 01:48:00 发布
最新推荐文章于 2024-05-17 01:48:00 发布
阅读量4.4k 收藏 9
点赞数 2
分类专栏: Java 业务技术 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wusongsong95/article/details/117821732
版权 
目前大部分WEB框架支持将HTTP请求参数与类的属性相匹配的而生成一个对象。因此,攻击者能够将值放入HTTP请求参数中从而绑定系统对象。

例如:在以下代码片段中, Spring MVC可以将 HTTP请求参数绑定到 User属性:

@RequestMapping("/login" )  
public String login(User user) {  
  ...  
}

其中,User 类定义为:

public class User {  
  private String username;  
  private String address;  
  private int age;  
  private boolean admin;  
  ...  
}

当Spring MVC未配置为禁止绑定敏感属性,则攻击者可能会通过发送以下使普通用户变为管理员。
name=张三&address=北京&age=22&admin=true

解决办法:
当程序将非将HTTP请求参数直接绑定给对象时,应该要控制绑定到对象的属性,防止暴露敏感属性。
例1:在以下代码片段中,在 Spring MVC(3.0版本至最新)禁止绑定敏感属性。

@InitBinder  
public void initBinder(WebDataBinder binder) {  
    binder.setDisallowedFields(new String[]{"admin"});  
}  
@RequestMapping("/login" )  
public String login(User user) {  
  ...  
}

例2:在 Spring MVC(2.X版本)禁止绑定敏感属性。

@Override  
protected void initBinder(HttpServletRequest request, ServletRequestDataBinder binder) throws Exception {  
    binder.setDisallowedFields(new String[]{"admin"});  
}

在使用@RequestBody注释参数的 Spring MVC应用程序中,绑定过程由HttpMessageConverter进行处理,这些实例使用Jackson和JAXB等库将 HTTP请求参数转换为Java对象。这些库提供了注释来控制应允许或禁止的字段。例如对于Jackson,可以使用@JsonIgnore注释禁止将某个字段绑定到请求。
例3:在以下代码片段中,Jackson禁止绑定敏感属性。

@RequestMapping(value="/add/user", method=RequestMethod.POST, consumes="text/html")  
public void addEmployee(@RequestBody User user){  
    ...  
}  
public class User {  
  private String username;  
  private String address;  
  @JsonIgnore  
  private boolean admin;  
  private int age;  
  ...  
}

同理,Jackson还可以使用@JsonIgnoreProperties、@JsonIgnoreTyp和 @JsonInclude等注解告诉框架忽略这些属性,使用JAXB使用@XmlAccessorType、@XmlAttribute、@XmlElement和 @XmlTransient等注解告诉框架忽略这些属性,然后使用@XmlAttribute和@XmlElement等注解选择应绑定的字段。
例4:在以下代码片段中,Jackson使用@XmlAttribute选择要绑定的字段。

@XmlRootElement  
@XmlAccessorType(XmlAccessType.NONE)  
public class User {  
    private String username;  
    private String address;  
    @JsonIgnore  
    private boolean admin;  
    private int age;  
    @XmlAttribute  
    public String getUsername() {  
        return username;  
    }  
    public void setUsername(String username) {  
        this.username = username;  
    }  
    @XmlAttribute  
    public String getAddress() {  
        return address;  
    }  
    public void setAddress(String address) {  
        this.address = address;  
    }  
    private boolean isAdmin()  {  
       return admin;  
    }  
    private void setAdmin(boolean admin)  {  
       this.admin = admin;  
    }  
    ...  
}

例5:在以下代码片段中,在Struts可以将某个属性的setter方法设置为私有从而禁止绑定敏感属性。

private boolean admin;  
private void setAdmin(boolean admin)  {  
   this.admin = admin;  
}

还有另一种方法是使用将 HTTP请求参数绑定到仅含有 Web表单或 API中定义的属性DTO对象中,再将其映射到User中,防止敏感字段暴露。

松有木兮
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
SpringBoot----配置敏感字段加密
小汤圆
03-03 362
SpringBoot----配置敏感字段加密
SpringMVC中利用@InitBinder来对页面数据进行解析绑定的方法
08-27
SpringMVC中利用@InitBinder来对页面数据进行解析绑定的方法 本篇文章主要介绍了SpringMVC中利用@InitBinder来对页面数据进行解析绑定的方法,非常具有实用价值,需要的朋友可以参考下。在使用SpringMVC框架的项目...
java调用数据库如何保证敏感字段的安全性
qq_45791799的博客
09-17 585
现实生活中,我们会看到电话号码等敏感信息隐藏显示的情况,eg.137****7924,那怎么才能保证敏感字段的安全性呢? 步骤 : step1:通过sql语句保证敏感信息的安全性 step2:建立视图 step3:java调用视图 sql语句如下: create view customer_info1 as select replace(initiative_phone,SUBSTR(initiative_phone,4,4),'****'),customer_id,call_time,sum_time,c
(C#源码)校验文件敏感字段
03-26
通过多线程,不同规则条件,分割提取文件中的敏感字段
JAVA Web应用常见漏洞与修复建议_基于dom的xss是将用户可控的javascript数据输出到html页面中而产生的漏洞,为了避
最新发布
2401_84969054的博客
05-17 386
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-xRVOqBcz-1715881670315)]
验证敏感
Mr_Yanghao的博客
08-30 575
function checkProhibit($str = '') {     if (empty($str)) return $str;     //创建一个新的字符串来做为返回值     $n_str = '';     //获取敏感字集     $prohibitList = model('Admin/ProhibitData')->getProhibitList();     if ...
Spring输入验证与数据绑定
忆年--尘封的记忆
12-01 4203
 v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);} Normal 0 7.8 磅 0 2
Spring中的过滤敏感字段浅谈
zcw_java的专栏
02-15 277
之前用过一次,但今天用的时候出现了新的问题! 配置仍然不变 [code="xml"] [/code] 代码含义解析 [code="java"] //日期转换问题 @InitBinder public void initB...
Android databinding 双向绑定
09-21
- 双向绑定可能会导致不必要的频繁更新,因此在处理大量数据或性能敏感的场景时需要注意优化。 - 在使用LiveData时,确保在ViewModel中正确处理生命周期,避免内存泄漏。 综上所述,Android DataBinding的双向绑定...
spring mvc 参数绑定漏洞
03-20
3. **默认配置不当**:Spring MVC的默认配置可能允许过于宽松的数据绑定,例如允许空值绑定到非null字段,或者允许任意类型的参数绑定。 针对这些风险,开发者可以采取以下措施来增强Spring MVC应用的安全性: 1. *...
arcgisserver中gridview隐藏字段
08-19
在实际应用中,有时我们可能需要隐藏某些字段,以保护敏感信息或者优化用户界面的显示。本篇文章将深入探讨如何在ArcGIS Server的GridView中实现隐藏字段的功能。 首先,我们需要理解GridView的基本工作原理。...
奇安信常见安全漏洞及修复
qiaosaifei的博客
01-10 3208
奇安信常见安全漏洞问题及修复
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 5931
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
springMVC(数据格式化+验证以及国际化+中文乱码处理+处理 json 和 HttpMessageConverter<T>+SpringMVC 文件上传+自定义拦截器+异常处理)
weixin_54107527的博客
11-04 1170
笔记型博客---springMVC(数据格式化+验证以及国际化+中文乱码处理+处理 json 和 HttpMessageConverter<T>+SpringMVC 文件上传+自定义拦截器+异常处理)
漏洞扫描解决方案汇总
liudachu的博客
03-06 5123
【代码】漏洞扫描解决方案汇总。
Spring框架强大的数据绑定功能
YANYAOHUI_的博客
07-07 442
可以通过注册自定义的转换器来将外部数据转换为Java对象中的类型,例如将字符串转换为日期类型。// 处理用户提交的数据 // ... return "User created successfully";} // ... }在上述示例中,initBinder方法注册了一个自定义的转换器,将字符串形式的日期数据转换为Date类型。本文详细介绍了Spring框架中的数据绑定机制。通过DataBinder对象可以将外部数据绑定Java对象中,用于处理和验证数据。
Spring @ControllerAdvice 注解
Asa_Prince的博客
07-02 287
通过@ControllerAdvice注解可以将对于控制器的全局配置放在同一个位置。 注解了@Controller的类的方法可以使用@ExceptionHandler、@InitBinder、@ModelAttribute注解到方法上。 @ControllerAdvice注解将作用在所有注解了@RequestMapping的控制器的方法上 @ExceptionHandler:用于全局处理控制器里的异常。 @InitBinder:用来设置WebDataBinder,用于自动绑定前台请求参数到Model
老版本的Spring应用该如何应对CVE-2022-22965漏洞?
程序猿DD
04-02 1819
昨天,在发布了《Spring官宣承认网传大漏洞,并提供解决方案》之后。群里就有几个小伙伴问了这样的问题:我们的Spring版本比较老,该怎么办?这是一个好问题,所以DD今天单独拿出来说说。 这次的RCE漏洞宣布之后,官方给出的主要解决方案是升级版本,但只有Spring 5.2、5.3和Spring Boot 2.5、2.6提供了对应的升级版本。 那么对于一些还在用Spring 5.0、5.1甚至Spring 4.x、或者Spring Boot 1.x和Spring 2.4及以下版本的用户该怎么办呢? 第一种
<form:password>
06-11
`<form:password>` 是 Spring MVC 表单标签库中的一个标签,用于绑定表单中的密码输入框的数据。该标签会生成一个 HTML 的 `<input>` 标签,类型为 "password",用于输入密码。示例代码如下: ```jsp <form:password path="password" id="password" /> ``` 其中,`path` 属性指定了绑定字段名,这里绑定到了名为 "password" 的字段上。`id` 属性指定了生成的 `<input>` 标签的 ID。 在提交表单时,Spring MVC 会自动将用户输入的密码值绑定到相应的字段上。需要注意的是,由于密码是敏感信息,不应该在表单提交时将密码明文传输到后端,而应该使用 HTTPS 等安全协议进行加密传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值