个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我是 WebApp 编程的新手,正在尝试了解不验证通过调用 javax.servlet.http.HttpSession.getAttribute() 接口(interface)方法获得的数据的安全隐患。我正在使用已标记此潜在漏洞的安全代码扫描程序。
我知道作为一般规则,我应该始终验证从不受信任的来源获得的数据,但我想我不明白为什么 session 的内容会不受信任。这是基于我的(可能没有根据的)假设,即可以将数据添加到 session 的唯一方法是调用 HttpSession.setAttribute() 并且只有在相同范围内的可信代码应用程序应该能够做到这一点。
我想我真正想问的是攻击者如何利用无法验证从 HttpSession 获取的数据的应用程序。是不是因为实现是未知的,并且不能保证 session 的内容不是从 HTTP 请求中的数据(除了 session ID)以某种方式构造的,因此容易被篡改?或者是因为信任 session 的内容意味着隐式信任 session ID,这可能会被泄露并指向错误的 session ? (尽管要做到这一点,攻击者似乎必须有一些方法来创建包含受损数据的备用 session )。
假设 session 的内容不是根据请求中的数据构建的,是否可以利用此漏洞的唯一方法是是否存在另一个允许攻击者创建错误 session 的漏洞?例如。上传可执行代码并让服务器执行它并返回捕获和重放的 session ID?
谢谢
最佳答案
我认为它的意思是用户可能输入了数据,您无法确定用户输入的内容或是否存在任何类型的客户端验证。如果您根据请求中收到的内容盲目地调用函数,那么您可能会遇到安全问题。例如,在为用户输入的客户 ID 检索客户信息之前,请确保 ID 有效并确保用户有权查看数据。
关于java - 为什么需要验证通过调用 HttpSession.getAttribute() 获得的 servlet 中的数据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13422188/
26
4
0
这个问题已经有答案了: 已关闭10 年前。 Possible Duplicate: ServletContext and Session object 我觉得很奇怪 session.getAttrib
var objects = document.getElementsByTagName('object'); for (var i=0, n=objects.length;i
我正在尝试将给定元素的自定义属性与具有特定类的所有其他元素的自定义属性进行比较...这就是我所拥有的 function choose(el){ var text = $(el).getAttr
如何处理错误无法读取未定义的属性“getAttribute”。我正在使用 DOMParser 来获取 xml 标记的 type 属性。此 xml 标记有时可以是 FirstTag,有时可以是 Seco
我正在做一个任务,要求我们为矩形定义一个类并为其配备各种方法,其中两个是 getHeight()和 getWidth() , 除了 return this.height; 之外不应该做任何事情和 re
我正在使用 jQuery var editor = CodeMirror.fromTextArea($('#upEditor'), { stylesheet:'monokai.css' })
我正在开发一个触摸屏项目,并尝试显示一些图像(将一行分成几个段落,并使用每个段落的背景来显示图像),并为所选图像添加边框(只能是一个)选择),现在我需要通过onclick()显示移动的图像,例如,首先
你好,我是 JS 新手,代码中可能有更多错误。但我不明白为什么 getAttribute 不是一个函数。 测试: test('TESTING', () => { const filterNod
我不确定这里出了什么问题,但是当我尝试运行我的代码时,wishlist.getAttribute 返回 null,但如果我专门调用 getElementById,它将返回我需要的值。虽然我需要 wis
我需要根据第一个框的选择来同步这两个下拉框。 我不能为此使用 “value” 标记,因为代码库从其他地方提取这些值。 以下代码无效: html One Two Three Four
所以我有一个带有动态生成表格的页面,看起来像 行
以下代码片段中的代码演示了在更改 disabled 属性后,我无法检索原始属性值,至少对于 disabled 属性而言是如此。 The jQuery docs暗示 element.getAttribu
如何获取一个元素的所有属性?就像我下面的例子一样,我一次只能得到一个,我想拉出所有 anchor 标签的属性。 $dom = new DOMDocument(); @$dom->loadHTML(ht
我是 Javascript 新手。我想编写一个 javascript 代码,当我单击一个按钮时,会弹出警报窗口并写入数据消息属性。这是我的代码: click function pop() {
我正在尝试使用以下代码获取图像的值: image = doc.querySelector("img.product-pic-image").getAttribute("src"); 我总是得到 nul
我正在尝试获取 angualar.js 中的一些请求属性。我可以使用 request.getAttribute() 在 jsp 方法中获取相同的属性。 我不知道如何获取相同的内部 Angular 。您
我似乎偶然发现了一个看似错误的等价物,使用以下命令生成维基百科主页 (wikipedia.org) 的所有输入的列表: var inputs = Array.prototype.slice.call(
已关闭。这个问题是 not reproducible or was caused by typos 。目前不接受答案。 这个问题是由拼写错误或无法再重现的问题引起的。虽然类似的问题可能在这里 on-t
我正在寻找一种方法来获取存储在变量中的类的值(对于我的示例“AAABC”)。我使用 getAttribute 方法尝试了不同的关键字,但没有成功。关键字“class”显然给了我“gwt-Label”,
我是JAVA编程的新手。 我想使用 android.media.ExifInterface 来保存和恢复一些字节数组作为 exif 信息。 String str = new String(byte
我是一名优秀的程序员,十分优秀!