【java安全扫描】 HCL AppScan Standard安全报告：API 成批分配问题

API 成批分配说明

原因：
如果 API 端点自动将提供数据的客户机转换为内部对象属性，而不考虑这些属性的敏感度和暴露水平，则 API 端点容易受到成批分配攻击。
风险：
API 成批分配利用可能导致特权升级、数据篡改、绕过安全机制。
修订建议：
常规
避免使用自动将客户机输入数据绑定到代码变量或内部对象的功能。如果适用，请为输入数据有效内容明确定义并实施模式

举个栗子

这是一个POST请求及其正确的传入的参数json

http://127.0.0.1:5101/*****/****
{
    "countType":2,
    "yearStr":"2023"
}

而出现api成批分配问题的请求是

http://127.0.0.1:5101/*****/****
{
    "countType":2,
    "yearStr":"2023",
    "ddddd":"后端不存在接收参数"
}

但SpringBoot仍会把无效的ddddd参数反序列化，向后台发送不需要的参数，

解决方案

如果SpringBoot使用的默认jackson做的序列化，可以考虑对jackson配置来解决传冗余参的问题。

spring:
  jackson:
    serialization:
      # 某些类对象无法序列化的时候，是否报错
      fail_on_empty_beans: true
    deserialization:

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用！

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。