gpt4 book ai didi

java - CheckMarx XSRF 攻击问题

转载 作者:行者123 更新时间:2023-12-01 09:11:37 26 4
gpt4 key购买 nike

我有一个 REST Controller ,它有一个接受两个参数的方法 deleteStudentstudentIdLongsectionString

@RequestMapping(value="/rest/deleteStudent/studentId/{studentId}/section/{section}", method = RequestMethod.DELETE)
public Student deleteStudent(@PathVariable Long studentId, @PathVariable String section){
return studentService.deleteStudent(studentId ,section);
}

对于上面的代码,checkmarx 正在提示该参数值流经代码并最终用于修改数据库内容。该应用程序不需要针对该请求重新进行用户身份验证。这可能会启用跨站点请求伪造 (XSRF)。

我在部分尝试了 Htmlutils.htmlescape (来自 spring web util),但没有成功。

如何解决这个 checkmarx 问题?

还有一件事,如果字段是 Long 类型,XSRF 和 SQL 注入(inject)攻击是如何可能的?

最佳答案

您确定它谈论的是 studentId 参数而不是 section 参数吗?

如果确实如此,我会说这是误报。

如果它谈论的是 section 参数,我根本不会担心您的 SQL 请求是否受到保护(因此,如果您使用 ORM 或准备好的语句等...)。

总的来说,我认为在所有 SQL 注入(inject)情况下,这都是误报。

也就是说,对于 CSRF attacks ,你可能确实很脆弱。

如果黑客让管理员加载页面,如果您没有实现 CSRF 保护,即使没有访问权限,黑客也能够删除任何用户帐户。

关于java - CheckMarx XSRF 攻击问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40885060/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com