Was ist die Lösung für die Masse Zuordnung: Unsichere Binder Konfiguration Sicherheitsanfälligkeit?

Habe ich diesen Controller in Java:

@Controller
public class AuthenticationController extends AbstractController {

  @RequestMapping(value = Constantes.MAPPING_AUTH_BASE_ASP, method = { RequestMethod.POST })
  public String authenticate(@Valid ComunicationWithAspRequest comunicationWithAspRequest, BindingResult result,
      RedirectAttributes redirectAttributes, HttpSession sesion) throws Exception {
    ...
    ...
    ...
  }
}

Wenn ich scan meinen code in Stärken, das Objekt comunicationWithAspRequest bewirkt, dass die Masse Zuordnung: Unsichere Binder Konfiguration Schwachstelle. Ist es möglich zu Steuern, welche HTTP-request-Parameter werden verwendet, die Bindung ist ein Prozess, und welche werden ignoriert?

InformationsquelleAutor Brayan Reyes | 2017-10-19

  1. 2

    Können Sie beziehen sich auf das problem Verhindern, dass der Masse die Abtretung in Spring MVC mit Roo.

    In Ihrem Fall, können Sie @InitBinder zur Verfügung gestellt von Spring MVC. @InitBinder würde, geben Sie die weiße Liste für die json-und bean-mapping.

    In meiner Erfahrung, die ich verwendet @RequestBody für auto-verbindlich. Ich muss hinzufügen, @JsonIgnore zu geben Sie die Eigenschaft, dass würde sich nicht gehören für die Zuordnung.

    SimpleController.java

    @RequestMapping(value="/simple")
public String simple(@Valid @RequestBody User user){
   simpleService.doSomething();
}

    User.java

    public class User{
   private String name;

   @JsonIgnore
   private String dummy;

   public void getName(){return name;}
   public void setName(name){this.name = name;}
   public void getDummy(){return dummy;}
   public void setDummy(dummy){this.dummy= dummy;}

}
    Ich war auf der Suche Lösung für die gleichen stärken-mass-assignment issue -, White-und black-listing ist eine mühsame Aufgabe für meine Anwendung.Gibt es irgendeine andere Möglichkeit dieses Problem zu beheben andere als Frühling @InitBinder ?
    In meinem Projekt benutze ich nur ein schmutziger Weg, um dieses Problem zu lösen. dh. @JsonIgnore
    Ich habe versucht, JsonView, die funktioniert für mein Projekt mehr als JsonIgnore da die Objekte für mehr als 1 Endpunkt. Noch Stärken nicht scheinen, um es zu erkennen
    Eine weitere Erkenntnis ist, dass Fortify ist eigentlich nur zu tun, scan -, pop Warnmeldung. Einige Problem kann nicht gelöst ist, brauchen Sie nur, es zu akzeptieren, mit Grund.

    InformationsquelleAutor Ben Cheng

Schreibe einen Kommentar