gpt4 book ai didi

java - 使用备用路径修复 CWE-288 身份验证绕过

转载 作者:太空宇宙 更新时间:2023-11-04 15:18:19 28 4
gpt4 key购买 nike

我有这段代码,我认为这是重定向到另一个 servlet 的相当标准的方法

RequestDispatcher dispatch =
request.getRequestDispatcher("/ApplicationExceptionHandler");
dispatch.forward(request, response);
return;

问题是,当这样的代码通过 AppScan 等静态代码分析工具运行时,它表明代码容易受到攻击。 http://cwe.mitre.org/data/definitions/288.html

我有一个 servlet 过滤器来验证大多数 URL。尽管如此,这个工具让我没有提示。

关于如何解决这个问题有什么想法吗?

最佳答案

如果您不需要在当前状态下转发当前请求,那么您可以简单地发出到新资源的重定向。新请求将通过应用服务器的身份验证检查,并且可能是检查认为有效的内容。

但是,与所有其他静态分析一样,不能 100% 确定代码实际上容易受到此类身份验证问题的影响。你可能没事。如果您了解问题并确定您的架构不允许这样做,那么可以安全地忽略此问题。

关于java - 使用备用路径修复 CWE-288 身份验证绕过,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20671392/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com