【java安全扫描】 HCL AppScan Standard安全报告:API 成批分配问题

这篇具有很好参考价值的文章主要介绍了【java安全扫描】 HCL AppScan Standard安全报告:API 成批分配问题。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

API 成批分配说明

原因:
如果 API 端点自动将提供数据的客户机转换为内部对象属性,而不考虑这些属性的敏感度和暴露水平,则 API 端点容易受到成批分配攻击。
风险:
API 成批分配利用可能导致特权升级、数据篡改、绕过安全机制。
修订建议:
常规
避免使用自动将客户机输入数据绑定到代码变量或内部对象的功能。如果适用,请为输入数据有效内容明确定义并实施模式

举个栗子

这是一个POST请求及其正确的传入的参数json

http://127.0.0.1:5101/*****/****
{
    "countType":2,
    "yearStr":"2023"
}

而出现api成批分配问题的请求是

http://127.0.0.1:5101/*****/****
{
    "countType":2,
    "yearStr":"2023",
    "ddddd":"后端不存在接收参数"
}

但SpringBoot仍会把无效的ddddd参数反序列化,向后台发送不需要的参数,

解决方案

如果SpringBoot使用的默认jackson做的序列化,可以考虑对jackson配置来解决传冗余参的问题。文章来源地址https://www.toymoban.com/news/detail-515584.html

spring:
  jackson:
    serialization:
      # 某些类对象无法序列化的时候,是否报错
      fail_on_empty_beans: true
    deserialization:
       # json对象中有不存在的属性时候,是否报错
      fail_on_unknown_properties: true

到了这里,关于【java安全扫描】 HCL AppScan Standard安全报告:API 成批分配问题的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 常见漏洞扫描工具AWVS、AppScan、Nessus的使用

    AWVS(Acunetix Web Vulnerability Scanner)是一款知名的网络漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的 Web应用攻击 ,如跨站脚本、sql 注入等。 Windows安装没有什么难度,这里主要记录Kali环境下的安装与部署。 准备 acunetix_trial.sh 和激活包 pathc_awvs 。 下载地址: 修改

    2024年02月03日
    浏览(53)
  • 基于HCL的​​​​​​​网络规划与部署综合实训报告

            本次实验是对之前有关网络规划与综合部署的综合实验,适合入门的同学们进行学习,该实验选择了使用华三模拟器进行,希望能够帮助大家了解相关的指令。         ① 掌握网络规划和设计的基本流程         从需求分析开始做起,逐步考虑网络拓扑、

    2024年02月16日
    浏览(68)
  • [安全测试】appscan下载与安装

    一、AppScan 下载 我的百度网盘下载地址:https://pan.baidu.com/s/1mf4z74mvlPMwO_vd7KC2nw 提取码:FXZZ 二、AppScan 安装 (1)双击 “AppScan_Setup_10.0.0.exe” 开始安装     (2) 将文件夹中 rcl_rational.dll 文件复制到软件安装目录下替换 默认安装的文件路径:默认路径:C:Program Files (x86)HCL

    2024年02月05日
    浏览(68)
  • 网络安全--工具篇--AppScan

    AppScan是一款功能非常强大的网站漏洞扫描工具,它可以扫描网站所有url(自动+手动),为专业的网站安全防护人员进行web程序的安全性评估,帮助用户扫描网站中隐藏的url和其它安全问题,自动测试是否存在各种类型的漏洞,为网站做出最准确的分析。 1 双击运行下载好的

    2024年02月09日
    浏览(53)
  • 加强版python连接飞书通知——本地电脑PC端通过网页链接打开本地已安装软件(调用注册表形式,以漏洞扫描工具AppScan为例)

            如果你想要通过超链接来打开本地应用,那么你首先你需要将你的应用添入windows注册表中(这样网页就可以通过指定代号来调用程序),由于安全性的原因所以网页无法直接通过输入绝对路径来调用本地文件。         创建文本文档,使用记事本打开,添加内

    2024年02月09日
    浏览(42)
  • 安全检测(AppScan)安装与使用

    (上) 安装 898的百度云中下载 .dll文件要与下载解压安装(管理员启动安装包)成功后的包内.dll文件进行替换,复制进去点击重复替换即可   进入软件页面后点击help,然后点击license,接着点击switch xxx。。。。。;最后点击Configuration中的➕选择百度云下载的安装包中txt文件

    2024年02月04日
    浏览(51)
  • HBase Java API 开发:表的扫描与扫描的缓存和批量处理 第1关:批量处理

    批量操作 如果我们去查看 HBaseAPI 的源码会发现,在上次实训中我们使用的 delete、get,put 这些批量操作,实际上都是调用了 batch() 方法。 查看 put(ListPut puts) 函数源码: 我们可以发现 put(ListPut puts) 方法最终还是调用的 batch(final List? extends Row actions, final Object[] results, int rpcTi

    2024年02月09日
    浏览(43)
  • [系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解

    终于忙完初稿,开心地写一篇博客。 您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代

    2024年02月07日
    浏览(50)
  • [网络安全提高篇] 一二一.恶意软件动态分析Cape沙箱Report报告的API序列批量提取详解

    终于忙完初稿,开心地写一篇博客。 “网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未

    2024年02月13日
    浏览(45)
  • AWVS扫描报告分析

    系列文章 AWVS安装与激活 AWVS扫描Web应用程序 1.选则我们已经扫描好的网站,点击它 2.点击后,右上角选择生成报告 3.选择生成报告的类型 4.点击生成报告 如下我们分别选择了三种规格生成了三份不同类型的报告 5.点击HTML,生成HTML网页查看报告 报告内容如下 AWVS报告类型 S

    2024年02月05日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包