fortify 如果没有适当的 Database access control,java类 中的 apply() 方法就会在第 310 行上执行一个 SQL 指令,该指令包含一个受攻击者控制的主键解决

原创 已于 2022-02-24 17:00:46 修改 · 3.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fortify

于 2021-03-10 23:21:55 首次发布
本文探讨了在Java应用中如何避免SQL注入攻击,并通过有效的权限控制机制来保护数据库资源免受未授权访问。文中提供了两个示例,分别展示了Web应用和Android应用中如何正确地使用参数化查询来构建安全的SQL语句。 
如果没有适当的 access control,java类 中的 apply() 方法就会在第 310 行上执行一个 SQL 指令,该指令包含一个受攻击者控制的主键,从而允许攻击者访问未经授权的记录。


Explanation:

Database access control 错误在以下情况下发生:

1.	数据从一个不可信赖的数据源进入程序。

在这种情况下,数据进入 java类 中的第 295 行的 方法() 中。


2.	这个数据用来指定 SQL 查询中主键的值。

在这种情况下,在java类 中中第 310 行的 方法() 使用该数据。



示例 1:以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以构建和执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。您可以从与当前被授权用户有关的所有清单中选择这些标识符。


...
id = Integer.decode(request.getParameter("invoiceID"));
String query = "SELECT * FROM invoices WHERE id = ?";
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();
...



问题在于开发者没有考虑到所有可能出现的 id 值。虽然接口生成了一个当前用户的标识符清单,但是攻击者可以绕过这个接口,从而获取所需的任何清单。因为此例中的代码没有执行检查,确保用户有权访问需要的清单,所以代码会显示所有清单,即使这些清单并不属于当前用户。

有些人认为在移动世界中,典型的 Web 应用程序漏洞(如 Database access control 错误)是无意义的 -- 为什么用户要攻击自己?但是,谨记移动平台的本质是从各种来源下载并在相同设备上运行的应用程序。恶意软件在银行应用程序附近运行的可能性很高,它们会强制扩展移动应用程序的攻击面(包括跨进程通信)。


示例 2:以下代码对示例 1 进行调整,使其适用于 Android 平台。


...
        String id = this.getIntent().getExtras().getString("invoiceID");
        String query = "SELECT * FROM invoices WHERE id = ?";
        SQLiteDatabase db = this.openOrCreateDatabase("DB", MODE_PRIVATE, null);
        Cursor c = db.rawQuery(query, new Object[]{id});
...

##解决方案


public static Object reverseData(Object obj, Class clazz)
 { HashMap<String, Object> resMap = new HashMap<String, Object>();
  resMap.put("data", obj);
   return new ActionResult(true, "success", resMap); 
  }
public static <T> T dealWithAccessControl(Object obj, Class<T> clazz) { 
ActionResult actionResult = (ActionResult) reverseData( obj, clazz); 
HashMap<String, Object> resMap = (HashMap<String, Object>) actionResult.getObj(); 
return (T) resMap.get("data"); }
Java代码审计中常见的漏洞(一)
武天旭的博客
12-09 5096
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 数据库访问控制 2 HTTP响应截断 3 SQL注入 4 命令注入 5 LDAP注入 6 XML注入 7 XPath注入
Fortify自定义规则笔记(二)
liweibin812的博客
02-15 6457
对于自定义规则,我们需要掌握每条规则的所代表的可以检查的漏洞型,这样,才能编写有效的自定义规则,伴随着自定义规则库的增多,Fortify SCA发现漏洞,和降低误报率会越来越低,一定程度上可以智能化的扫描系统。
Fortify扫描问题Access Control: Database解决办法
Snowhard的博客
11-12 336
Fortify扫描问题Access Control: Database解决办法
fortify源代码扫描问题分析汇总
Websec
07-21 1万+
编号 漏洞名称 漏洞危害 修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:不安全的反序列化 Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在使用...
Fortify漏洞之Access Control: Database(数据越权)
arkqyo2595的博客
05-07 6024
  继续对Fortify的漏洞进总结,本篇主要针对Access Control: Database(数据越权)的漏洞进总结,如下: 1、Access Control: Database(数据越权) 1.1、产生原因: Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据...
Fortify Access Control: Database
workhd的专栏
08-31 7896
项目经过扫描扫出来36个数据越权的高危漏洞,看了看这些问题和报告中给的修改建议 Access Control: Database (36 issues) Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键SQL 指令,从而允许攻击者访问未经授 权的记录。 Explanation Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据 用来指定 SQL 查询中主键的值。 示例 1: 以下
Fortify屏蔽漏洞Access Control: Database
weixin_43063748的博客
06-23 1万+
项目使用了Mybatis该如何屏蔽Access Control Database漏洞
Fortify扫描之Access Control: Database 问题修复
hjxxxxxxxxx的博客
12-12 5689
Access Control: Database
Fortify Access Control
安全新司机
10-05 1132
攻击者访问未授权的数据
Fortify扫描之Access Control: Database的思考
热门推荐
【欢迎关注公众号:冬瓜白】
07-21 1万+
在扫描结果文件中是这么描述的: 大概明白问题的原因是:1.数据库主键自增使用的是序列;2.在进查询的时候有多处地方是根据主键查询的。 这样的确会出现一个问题,因为攻击者会根据后台url使用轮询的方式扫描主键,从而获取信息。...
解決 Fortify Access Control: Database
三斗的博客
08-21 1万+
解決 Fortify Access Control: Database 方法如下 ①主鍵和字段避免包含ID命名。 ②根據ID查詢數據記錄,請使用dao層原生byId方法,不使用sql
fortify安全扫描Access Control: Database问题解决
毅香雪海的博客
02-27 1903
fortify安全扫描Access Control: Database问题解决
解决高风险代码:Access Control: Database
qq_45752401的博客
12-12 5502
如果没有适当的 access control,就会执行一个包含用户控制主键SQL 指令,从而允许攻击者访问未经授权的记录。通俗来讲,参数不能直接对其进使用,得进合法后进使用或者不能直接对数据进访问,需要满足某种情况下才可以。句, 以构建和执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。则, 这可以通过把当前被授权的用户名作为查询语句的一部分来实现。所请求清单的权限,因此它会显示任何清单,即使此清单不属于当前用户。许用户在没有取得相应权限的情况下获取或修改数据库中的记录。
Fortify Audit Workbench 笔记 Access Control: Database
马洪彪的流水账
03-14 247
Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键SQL 指令,从而允许攻击者访问未经授权的记录。 Explanation Database access control 错误在以下情况下发生: 数据从一个不可信赖的数据源进入程序。 这个数据用来指定 SQL 查询中主键的值。 例 1: 以下代码用到一个参数化指令,这个指令转义了元字符,以防止SQL...
控制台报缺少“Access-Control-Allow-Origin”
weng74的博客
01-11 1030
Spring Boot 解决Access-Control-Allow-Origin” 问题 其实解决跨域问题 不止只是前端能解决 ,后端也可以解决下面我使用基于Spring Boot 的跨域解决方案: 跨域是指可能是指协议、域名以及端口不相同 导致无法访问 出现以下情况: 解决方法有: 方法一: @Configuration public class WebMvcConfig impleme...
mysql越权漏洞_Fortify漏洞之Access Control: Database(数据越权)(示例代码)
weixin_32818365的博客
02-19 3257
继续对Fortify的漏洞进总结,本篇主要针对Access Control: Database(数据越权)的漏洞进总结,如下:1、Access Control: Database(数据越权)1.1、产生原因:Database access control 错误在以下情况下发生:1. 数据从一个不可信赖的数据源进入程序。2. 这个数据用来指定 SQL 查询中主键的值。示例 ...
代码审计问题【安全功能-访问控制-Database
weixin_42426675的博客
01-26 1475
公司要求投产前进代码审计,问题比较多,这篇文章主要解决【安全功能-访问控制-Database】问题。以上就是本地要讲的内容,后续会更新更多代码审计问题的文章。
oracle 数据访问控制,通过Oracle数据库访问控制功能(Database access control
weixin_35082950的博客
04-03 408
通过Oracle数据库访问控制功能(Database access control)简单来说通过在sqlnet.ora文件中设置如下参数来实现TCP.VALIDNODE_CHECKING控制是否打开数据库访问控制功能。TCP.EXCLUDED_NODES 黑名单拒绝访问的IPTCP.INVITED_NODES 白名单允许访问的IP举例:TCP.VALIDNODE_CHECKING...
开发安全之:Access Control: Database
irizhao的专栏
01-17 1877
为了突出显示未经验证的输入源,Fortify 安全编码规则包会对 Fortify Static Code Analyzer(Fortify 静态代码分析器)报告的问题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。任何情况下都不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录。如果没有适当的 access control,mysql_query执行一个 SQL 指令时,如果该指令包含一个攻击者控制主键,从而允许攻击者访问未经授权的记录。
auditManagementDao.insertAuditOperationLog(httpRequestDTO);这插入数据的java代码被fortify扫描出来有 Access Control: Database 漏洞,给的建议为:如果没有适当的 access control,IAuditManagementServiceImpl.java 中的 insertAuditOperationLog() 方法就会在第 173 执行一个 SQL 指令,该指令包含一个攻击者控制主键,从而允许攻击者访问未经授权的记录。我要怎么调整
最新发布
12-13
解决Java代码 `auditManagementDao.insertAuditOperationLog(httpRequestDTO);` 被Fortify扫描出的 Access Control: Database 漏洞,可从以下几个方面着手: ### 1. 权限验证 在执行插入操作之前,对当前用户的权限进验证,确保用户有插入记录的权限。可以在业务逻辑层添加权限验证代码: ```java import com.example.security.PermissionService; // 假设 PermissionService 是用于权限验证的服务 PermissionService permissionService = new PermissionService(); if (permissionService.hasPermission(currentUser, "insertAuditOperationLog")) { auditManagementDao.insertAuditOperationLog(httpRequestDTO); } else { throw new SecurityException("User does not have permission to insert audit operation log."); } ``` ### 2. 过滤和验证输入 对 `httpRequestDTO` 中的数据进过滤和验证,确保主键等关键数据不包含恶意内容。可以在 `httpRequestDTO` 中添加验证逻辑: ```java public class HttpRequestDTO { private String primaryKey; public void setPrimaryKey(String primaryKey) { // 过滤和验证主键 if (isValidPrimaryKey(primaryKey)) { this.primaryKey = primaryKey; } else { throw new IllegalArgumentException("Invalid primary key."); } } private boolean isValidPrimaryKey(String primaryKey) { // 实现具体的验证逻辑,例如只允许数字和字母 return primaryKey.matches("[a-zA-Z0-9]+"); } } ``` ### 3. 在数据库层进权限控制 在数据库查询语句中加入当前被授权的用户名或用户标识,确保每条查询只返回用户有权限访问的记录。可以在 `insertAuditOperationLog` 方法中修改 SQL 语句: ```java public class AuditManagementDao { public void insertAuditOperationLog(HttpRequestDTO httpRequestDTO) { String currentUser = getCurrentUser(); String sql = "INSERT INTO audit_operation_log (primary_key, ..., user_id) VALUES (?, ..., ?)"; try (Connection conn = getConnection(); PreparedStatement pstmt = conn.prepareStatement(sql)) { pstmt.setString(1, httpRequestDTO.getPrimaryKey()); // 设置其他参数 pstmt.setString(n, currentUser); // n 是 user_id 参数的位置 pstmt.executeUpdate(); } catch (SQLException e) { e.printStackTrace(); } } private String getCurrentUser() { // 获取当前用户的标识 return "current_user_id"; } } ``` ### 4. 屏蔽有问题的 SQL 语句 如果以上方法都无法解决问题,可以考虑屏蔽有问题的 SQL 语句。可以参考引用[4]中的 `CustomSimpleUtil` ,通过反射调用方法: ```java import com.xiaoxin.test.utils.CustomSimpleUtil; try { CustomSimpleUtil.execute(auditManagementDao, "insertAuditOperationLog", httpRequestDTO, HttpRequestDTO.class); } catch (Exception e) { e.printStackTrace(); } ```
评论 5
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值