java json injection_在Java中强化JSON注入错误

最新推荐文章于 2024-03-29 17:48:06 发布
原创 最新推荐文章于 2024-03-29 17:48:06 发布 · 608 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java json injection

本文讲述了如何在处理从客户端获取的SUBSCRIPTION_JSON字符串时,避免Json注入攻击,通过Gson库安全地转换为ModelObject,强调了输入验证的重要性。

我从客户端获取SUBSCRIPTION_

JSON,我将其转换为String,然后使用gson库将其设置为Model Object.在Fortify安全性上运行代码时,它在下面的代码中给出了Json注入错误,并带有以下消息:

这是错误:

On line 159 of ActionHelper.java, the method jsonToObject() writes unvalidated input into JSON. This call could allow an attacker to inject arbitrary elements or attributes into the JSON entity.The method writes unvalidated input into JSON. This call could allow an attacker to inject arbitrary elements or attributes into the JSON entity.

Explanation

JSON injection occurs when:

1. Data enters a program from an untrusted source.

In this case the data enters at getString() in **SubscriptionAction.java** at line 355.

2. The data is written to a JSON stream.

In this case the JSON is written by fromJson() in **ActionHelper.java** at line 159.

SubscriptionAction.java

final String subscriptionJson = subscriptionForm.getString(SUBSCRIPTION_JSON);

ActionHelper.java

public static T jsonToObject(final String jsonString, final Class className) {

T object = null;

if (StringUtils.isNotBlank(jsonString)) {

final Gson gson = (Gson) BeanLocator.getInstance().getBean(GSON);

object = gson.fromJson(jsonString, className);

}

return object;

}

SUBSCRIPTION_JSON – >

{

"subscriptions": [{

"attributeId": "1",

"items": [{

"strId": "ALL",

"nodeType": "G"

}, {

"strId": "VO_ENTRY_TIMING_DELAY",

"nodeType": "L"

}, {

"strId": "O_INVALID",

"nodeType": "L"

}, {

"strId": "O_LINE_INVALID",

"nodeType": "L"

}, {

"strId": "V_INVALID",

"nodeType": "L"

}, {

"strId": "V_ADDRESS_INVALID",

"nodeType": "L"

}]

}, {

"attributeId": "2001",

"items": [{

"strId": "OSTBU",

"nodeType": "L"

}]

}]

}

Han H
关注
Java-EE-7.zip_JAVA EE_Java EE 7_平台
09-19
9. **CDI 1.1**:Contexts and Dependency Injection(CDI)是Java EE的依赖注入框架,1.1版本加强了事件处理和扩展性。 10. **Batch Applications for the Java Platform (JSR 352)**:提供了批量处理的API,便于...
ssm-crud.zip_JSON_bootstrap_maven_ssm框架项目_ssm项目
09-20
1. **Spring框架**:Spring是Java企业级应用的核心框架,提供了依赖注入(Dependency Injection, DI)和面向切面编程(Aspect-Oriented Programming, AOP)等功能,使得代码更加模块化,易于管理和测试。在本项目中...
java json injection_JSON注入—Web安全深度剖析(7)
weixin_39713335的博客
02-19 632
10.3.3 JSON注入JSON(JavaScript Object Notation)是一种轻量级的数据交换格式。它基于JavaScript的一个子集。JSON采用完全独立于语言的文本格式,但是也使用了类似于C语言家族的习惯(C、C++、C#、JavaJavaScript、Perl、Python等语言都可以使用JSON),这些特性使JSON成为理想的数据交换语言,易于开发人员阅读和编写,同...
[20][03][05] JSON Injection
安全新司机
06-16 1366
文章目录1. 问题描述2. 问题场景3. 解决方案3.1 JsonSanitizer.sanitize 1. 问题描述 该方法会将未验证的输入写入 JSON,攻击者可以利用此调用将任意元素或属性注入 JSON 实体 2. 问题场景 JSON Injection 会在以下情况中出现 数据从一个不可信赖的数据源进入程序 将数据写入到 JSON 流 应用程序通常使用 JSON 来存储数据或发送消息,当用于存储数据时,JSON 通常会像缓存数据那样处理,而且可能包含敏感信息.当用于发送消息时,JSON 经常与
java json injection_Software Security | JSON Injection
weixin_30209121的博客
02-19 203
JSON injection 会在以下情况中出现:1. 数据从一个不可信赖的数据源进入程序。2. 将数据写入到 JSON 流。应用程序通常使用 JSON 来存储数据或发送消息。用于存储数据时,JSON 通常会像缓存数据那样处理,而且可能会包含敏感信息。用于发送消息时,JSON 通常与 RESTful 服务一起使用,并且可以用于传输敏感信息,例如身份验证凭据。如果应用程序利用未经验证的输入构造 JS...
java json injection_【缺陷周话】第40期:JSON 注入
weixin_31899235的博客
02-24 1115
1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍请参...
java json injection_Java Web实现IOC控制反转之依赖注入
weixin_32063287的博客
02-24 202
控制反转(Inversion of Control,英文缩写为IoC)是一个重要的面向对象编程的法则来削减计算机程序的耦合问题,也是轻量级的Spring框架的核心。控制反转一般分为两种类型,依赖注入(Dependency Injection,简称DI)和依赖查找(Dependency Lookup)。依赖注入应用比较广泛。本文介绍java实现一个简单的依赖注入简单而言,当你在某一个类中需要调用其他...
120_java外卖平台_网上订餐系统.rar
04-27
其次,Spring框架是Java Web开发中的重要工具,它提供了依赖注入(Dependency Injection)和面向切面编程(Aspect-Oriented Programming),简化了应用程序的复杂性。在这个订餐系统中,Spring MVC可能是用来实现...
Java项目中添加和使用Json Jar包教程
- 当使用JSON库处理来自不可信源的JSON数据时,需要特别注意防止JSON注入攻击(JSON Injection),也称为JSON Bomb攻击。这种攻击是通过输入恶意构造的JSON字符串使得解析器进入无限循环,从而消耗过多的计算资源。...
chapter20_java_SSM框架_ssm_源码
10-02
首先,Spring作为核心容器,负责管理应用中的对象,通过依赖注入(Dependency Injection, DI)和面向切面编程(Aspect-Oriented Programming, AOP)提供控制反转和解耦。在SSM项目中,Spring会管理数据库连接池、...
开发安全之:JSON Injection
irizhao的专栏
01-17 1430
将 %22,%22role%22:%22 附加到其用户名中,并将该值传递到 username URL 参数,则最终保存到 ~/user_info.jsonJSON 将为: { "role":"default", "username":"mallory", "role":"admin", "password":"Evil123!在更为严重的情况下,例如涉及 JSON Injection,攻击者可能会插入无关的元素,从而允许对 JSON 文档或请求中对业务非常关键的值执行可预见操作。
java json injection_JSON相关漏洞(Hijacking+Injection)挖掘技巧及实战案例全汇总
weixin_36062835的博客
02-19 1177
本文一是在为测试过程中遇到json返回格式时提供测试思路,二是几乎所有国内的资料都混淆了jsonjsonp的区别——这是两种技术;以及jsonjsonphijacking的区别——这是两个漏洞,这里做个解释。1、概念1)什么是jsonjson(JavaScript Object Notation, JS 对象标记) 是一种轻量级的数据交换格式。JSON最常用的格式是对象的键值对,例如下面这样...
Json注入
qq_50854662的博客
11-12 3723
一、Json简介 JSON 是存储和交换文本信息的语法,是轻量级的文本数据交换格式。类似xml,但JSON 比 XML 更小、更快,更易解析。所以现在接口数据传输都采用json方式进行。JSON 文本的 MIME 类型是 “application/json”。 json语法 数据在名称/值对中 数据由逗号分隔 大括号保存对象 中括号保存数组 JSONJSON 值可以是: 数字(整数或浮点数) {“age”:30 } 字符串(在双引号中) {“uname”:“yang”} 逻辑值(true 或
Java防止Xss注入json_【知识点】6个XSS的防御小技巧
weixin_39580041的博客
11-20 626
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。作者:la...
java json injection_使用Jackson基于条件注入json属性
weixin_42101384的博客
02-24 401
我使用Jackson API将json格式转换为Java对象模型。我正在使用Jaxsonxml 2.1.5解析器。 json响应如下所示。使用Jackson基于条件注入json属性{"response": {"name": "states","total-records": "1","content": {"data": {"name": "OK","details": {"id": "1234"...
java json injection_JSON Injection解决方法
weixin_31264565的博客
02-19 1453
JSON Injection 解决:加 JsonSanitizer.sanitize() 进行校验(这个校验貌似可以解决很多Json相关的Fortify Issue);com.mikesamueljson-sanitizer1.0-----------------------------------------------------------------------------Issue 描述...
java json injection,Java中的JSON注入强化错误
weixin_30425639的博客
02-19 340
I am getting SUBSCRIPTION_JSON from client which I am converting it to String and then setting it to Model Object using gson library. On running the code on Fortify security, It is giving me Json inje...
JSON类型注入
最新发布
2201_75766364的博客
03-29 2423
JSON 是存储和交换文本信息的语法,是轻量级的文本数据交换格式。类似xml,但JSON 比 XML 更小、 更快,更易解析,主要是用来代替XML的。所以现在接口数据传输都采用json方式进行。JSON 文本的 MIME 类型是 "application/json"。
JAVA 处理Json数据
树洞
09-18 318
JSONObject obj 获取某一列的数据 obj.getString("name"); JsonObject转换String obj.toJSONString() String 转JSonArray JSONArray checkObjs = JSONArray.parseArray(Str);
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值