久久久亚洲国产精品性色_ java中審計函數和URL重定向漏洞

    審計函數
    這種漏洞一般在比較多步驟的流程中出現,比如轉賬、找密等場(chǎng)景,也可重點(diǎn)留意幾個(gè)注解如下:
    @SessionAttributes
    @ModelAttribute
    ...
    更多信息可參考Spring MVC Autobinding漏洞實(shí)例初窺
    修復方案

Spring MVC中可以使用@InitBinder注解,通過(guò)WebDataBinder的方法setAllowedFields、setDisallowedFields設置允許或不允許綁定的參數.

    URL重定向
    介紹
    由于Web站點(diǎn)有時(shí)需要根據不同的邏輯將用戶(hù)引向到不同的頁(yè)面,如典型的登錄接口就經(jīng)常需要在認證成功之后將用戶(hù)引導到登錄之前的頁(yè)面,整個(gè)過(guò)程中如果實(shí)現不好就可能導致URL重定向問(wèn)題,攻擊者構造惡意跳轉的鏈接,可以向用戶(hù)發(fā)起釣魚(yú)攻擊.武漢Java培訓機構
    漏洞示例
    此處以Servlet的redirect 方式為例,示例代碼片段如下:
    String site = request.getParameter("url");
    if(!site.isEmpty()){
    response.sendRedirect(site);
    }
    審計函數
    java程序中URL重定向的方法均可留意是否對跳轉地址進(jìn)行校驗、重定向函數如下:
    sendRedirect
    setHeader
    forward
    ...
    修復方案
    使用白名單校驗重定向的url地址

給用戶(hù)展示安全風(fēng)險提示,并由用戶(hù)再次確認是否跳轉

本篇文章是有武漢Java培訓班為您呈現，希望給您帶來(lái)更多更好的文章

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久