个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我需要获取应用程序缓存对象 => session 对象,修改并使用它。虽然一切正常,但我收到了来自 Fortify 的信任边界违规威胁(更多信息)https://www.fortify.com/vulncat/en/vulncat/sql/trust_boundary_violation.html .
关于如何解决这个问题有什么想法吗?
最佳答案
信任边界冲突通常不是一件容易修复的事情。要真正理解这一点,您需要与您的安全审计员和您的架构师协商并确定什么是信任边界。为此,绘制应用程序的逻辑架构,包括缓存、最终用户和应用程序需要与之交互的所有其他系统。
然后,在需要保护的应用程序部分周围画一条虚线。此行中的所有内容都是您不必检查的内容...这些都是您开发人员创建的所有数据,或者它已被您的输入验证功能删除并且您确定它只是一种数据你期待。 (参见 https://www.owasp.org/index.php/Data_Validation)
现在,缓存在哪里?
如果它在信任边界内,则此信任边界冲突是误报,您可以创建一个过滤器,以便如果源来自该文件或包,该问题将被隐藏。您的过滤器看起来像这样:
类别:“违反信任边界”包:com.example.mycachepackage
或
类别:“违反信任边界”文件:MyCacheObject.java
如果缓存位于信任边界之外,则假设攻击者可能使用缓存作为一种机制来攻击您的程序或用户。然后,每次将数据放入缓存或从缓存中取出任何内容时,都必须检查所有数据。
一旦您为缓存机制定义了验证函数,您的安全审计员或 Fortify 顾问将编写自定义验证规则,使所有已修复的问题都消失。
关于c# - 将应用程序缓存与 session 数据相结合时信任边界冲突,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8842708/
25
4
0
我发现 hpc 真的很令人困惑,即使在阅读了一些解释并玩了很多之后。 我有一个图书馆 HML , 和两个测试套件 fileio-test和 types-test , 使用 HTF (我打算搬到 tas
创建可设计的 .NET 组件时,您需要提供默认构造函数。来自 IComponent文档: To be a component, a class must implement the IComponen
我想从 dnsmasq 收集和处理日志,我决定使用 ELK。 Dnsmasq 用作 DHCP 服务器和 DNS 解析器,因此它为这两种服务创建日志条目。 我的目标是向 Elasticsearch 发送
我定义了一个名为“folderwatcher”的类(可调用),它正在监视特定文件夹的任何更改。主要代码处于无限循环中,类似于: Monitor a Directory for Changes usin
我正在尝试重现 this plot : 它看起来像库格子中的 xyplot,但我找不到将马赛克图与 xyplot 组合的方法。 有人知道怎么做吗? 最佳答案 你只是在寻找内置于 vcd:::cotab
我遇到了提供字符串列表的情况。列表中的第一个条目是方法的名称。列表中的其余字符串是方法参数。我想使用任务来运行该方法(出于教育目的)。我在找出允许我将方法名称输入任务指令的正确过程时遇到问题。 对于这
为了处理非常大的集合(对于非常大,我的意思是“可能会抛出 OutOfMemory 异常”),使用 Hibernate 似乎有问题,因为通常集合检索是在一个 block 中完成的,即 List valu
我得到了一个包含超过 5000 万条记录的数据库表我需要尽快进行全文搜索。 在一个较小的表上,我只是在文本列上有一个索引,我使用相似性函数来获得相似的结果。我还能够根据 similarity() 的结
我有两个表details 和data 表。我已经加入了两个表并且交叉表功能已经完成。 我只想显示每个 serial 的最新数据。请参阅下面的当前和所需输出。 问题:如何在此交叉表查询中使用 DISTI
我在 Postgre (9.1.9) 中将串联与排序结合起来时遇到了麻烦。比方说,我有一个包含 3 个字段的表格边框: Table "borders" Column
我有一个组件,它使用辅助函数来获取日期列表,然后映射它们。在检索到的数据中,并不总是存在给定阶段的日期,因此我添加了逻辑,以便在该特定日期未定义时返回空字符串。 辅助函数获取属性 Phase =“阶段
我想尝试构建一段干净、漂亮的代码,我可以在其中实现您在下图中看到的结果。在 Firefox、Chrome 或 Safari 中可以,但在 IE 中不行。 我创建了一个 JSFiddle用代码。 基本上
我有一个导航菜单,其中的元素旋转 90 度。我想将其与悬停在导航项上时显示的下拉 block 结合起来,以保持项的动态行为。 动态导航面板的关键CSS代码在这里: .buttons-wrapper {
在 CSS 中,我可以像这样进行选择: input[type="number"], input[type="password"], input[type="text"], textarea, .but
假设我们已经为不同的平台(iOS/Android/Winfon( future ))实现了移动应用程序。所有应用程序都有一些共同的业务逻辑。 例如,计算器应用程序:用户输入两位数,我们的应用程序应该能
在我的 onCreate() 中,我设置了一个进度条,如下所示: getWindow().requestFeature(Window.FEATURE_PROGRESS); getWindow().se
我有一个遗留的 ASP.NET webforms 应用程序,用户通过在服务器端处理的表单登录。如果输入的用户名 + 密码与数据库中的凭据匹配,我会在 session 中设置一些值(例如,当前用户 ID
如何在 TastyPie 中组合多个资源?我有 3 个模型要合并:用户、个人资料和帖子。 理想情况下,我希望配置文件嵌套在用户中。我想从 UserPostResource 公开用户和所有个人资料位置。
假设使用assert() 检查对象函数的先决条件。那么,我该如何编写有意义的单元测试,以便在我将无效参数传递给函数时捕获前提条件失败? 我的意思是,assert() 将 abort(),那么在那之后我
我正在为开源客户端/服务器 4X 策略游戏 Thousand Parsec 构建 Qt 客户端.这是一个 Google Summer of Code 项目。然而,我陷入了死胡同。基本上,客户端通过促进
我是一名优秀的程序员,十分优秀!