Was ist die Lösung für die Masse Zuordnung: Unsichere Binder Konfiguration Sicherheitsanfälligkeit?
Habe ich diesen Controller in Java:
@Controller
public class AuthenticationController extends AbstractController {
@RequestMapping(value = Constantes.MAPPING_AUTH_BASE_ASP, method = { RequestMethod.POST })
public String authenticate(@Valid ComunicationWithAspRequest comunicationWithAspRequest, BindingResult result,
RedirectAttributes redirectAttributes, HttpSession sesion) throws Exception {
...
...
...
}
}
Wenn ich scan meinen code in Stärken, das Objekt comunicationWithAspRequest bewirkt, dass die Masse Zuordnung: Unsichere Binder Konfiguration Schwachstelle. Ist es möglich zu Steuern, welche HTTP-request-Parameter werden verwendet, die Bindung ist ein Prozess, und welche werden ignoriert?
InformationsquelleAutor Brayan Reyes | 2017-10-19
Du musst angemeldet sein, um einen Kommentar abzugeben.
Können Sie beziehen sich auf das problem Verhindern, dass der Masse die Abtretung in Spring MVC mit Roo.
In Ihrem Fall, können Sie @InitBinder zur Verfügung gestellt von Spring MVC. @InitBinder würde, geben Sie die weiße Liste für die json-und bean-mapping.
In meiner Erfahrung, die ich verwendet @RequestBody für auto-verbindlich. Ich muss hinzufügen, @JsonIgnore zu geben Sie die Eigenschaft, dass würde sich nicht gehören für die Zuordnung.
SimpleController.java
User.java
In meinem Projekt benutze ich nur ein schmutziger Weg, um dieses Problem zu lösen. dh. @JsonIgnore
Ich habe versucht, JsonView, die funktioniert für mein Projekt mehr als JsonIgnore da die Objekte für mehr als 1 Endpunkt. Noch Stärken nicht scheinen, um es zu erkennen
Eine weitere Erkenntnis ist, dass Fortify ist eigentlich nur zu tun, scan -, pop Warnmeldung. Einige Problem kann nicht gelöst ist, brauchen Sie nur, es zu akzeptieren, mit Grund.
InformationsquelleAutor Ben Cheng