API 成批分配说明
原因:
如果 API 端点自动将提供数据的客户机转换为内部对象属性,而不考虑这些属性的敏感度和暴露水平,则 API 端点容易受到成批分配攻击。
风险:
API 成批分配利用可能导致特权升级、数据篡改、绕过安全机制。
修订建议:
常规
避免使用自动将客户机输入数据绑定到代码变量或内部对象的功能。如果适用,请为输入数据有效内容明确定义并实施模式
举个栗子
这是一个POST请求及其正确的传入的参数json
http://127.0.0.1:5101/*****/****
{
"countType":2,
"yearStr":"2023"
}
而出现api成批分配问题的请求是
http://127.0.0.1:5101/*****/****
{
"countType":2,
"yearStr":"2023",
"ddddd":"后端不存在接收参数"
}
但SpringBoot仍会把无效的ddddd
参数反序列化,向后台发送不需要的参数,
解决方案
如果SpringBoot使用的默认jackson做的序列化,可以考虑对jackson配置来解决传冗余参的问题。
spring:
jackson:
serialization:
# 某些类对象无法序列化的时候,是否报错
fail_on_empty_beans: true
deserialization:
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用!
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
网络安全工程师企业级学习路线
零基础入门视频教程
所有资料共282G,朋友们如果有需要全套资料包,可以点下面卡片获取,无偿分享!