AI 助理
备案控制台
开发者社区 安全 文章 正文

Appscan扫出API成批分配问题解决方案

2023-07-25 2131
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Appscan扫出API成批分配问题解决方案

漏洞条件:

请求json参数不是接收参数的javabean及其父类中的任意属性。

意思就是:我javaben里面没有这个参数 你缺传递过来了 例如我只需要pageNum pageSize 你还传了role:admin 那么这样就有可能导致致特权升级、数据篡改、绕过安全机制

解决方案:

1、自建项目修复方案一:增加反序列化配置方案

1. #1、在项目的统一序列化配置中开启严格匹配模式(?如有),此处以jackson为例
2. @Configuration
3. public class JacksonConverters {
4. @Bean
5. public HttpMessageConverters JacksonHttpMessageConverters() {
6. MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter
7. = new MappingJackson2HttpMessageConverter();
8. ObjectMapper objectMapper = new ObjectMapper();
9. //省略其他配置开始
10. //反序列化的时候如果多了其他属性,抛出异常
11.         objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, true);
12. //省略其他配置结束
13.      }
14. }
15. 
16. #2、统一异常捕获或者返回处增加非200状态码
17.   /**
18.      * 捕获反序列化异常HttpMessageNotReadableException,增加500状态码返回
19.      * @param request   请求
20.      * @param exception 异常对象
21.      * @return 响应
22.      */
23. @ExceptionHandler(value = HttpMessageNotReadableException.class)
24. public ResponseEntity<Map<String, Object>> methodHttpMessageNotReadableExceptionHandler(
25.             HttpServletRequest request, HttpMessageNotReadableException exception) {
26. //按需重新封装需要返回的错误信息
27. WebRequest webRequest = new ServletWebRequest(request);
28.         Map<String, Object> body = errorAttributes.getErrorAttributes(webRequest, ErrorAttributeOptions.defaults());
29.         body.put(DATA, "convert exception message to JSON");
30.         body.put(STATUS, HttpStatus.INTERNAL_SERVER_ERROR.value());
31.         body.put(MESSAGE, HttpStatus.INTERNAL_SERVER_ERROR.getReasonPhrase());
32.         body.put(SUCCESS,false);
33. return new ResponseEntity<>(body, HttpStatus.INTERNAL_SERVER_ERROR);
34.     }
35. 
36. #2、或在在其他异常拦截方法上增加状态码注解
37. @ResponseStatus()

2、自建项目修复方案二:签名验证

针对所有的请求增加参数签名,后端采用同样的方式对参数进行签名,比较前后端签名是否一致,伪代码如下:

1. #前端请求
2. 
3. 请求 URL: http://localhost/cars/query
4. 请求方法: POST
5. HTTP状态码:200
6. playload:{"color":"red","company":"ltl","seats":"2-2"} #正常请求
7. Header:sign:ErOVBda4VMFdX9aixigRslAjY0rhT7lLxy
8. 
9. #后端controller
10. @PostMapping(value = "/query")
11. public BaseResponse query(@RequestBody Car car){
12.     String signFront=request.header("sign");
13.     String signBackend=signUtils.handler(car);
14. if(!signBackend.equals(signFront)){
15.     throws new ServiceErrorException("签名异常");        
16.     }
17. }


文章标签:
安全
API
数据格式
JSON
关键词:
API解决方案
API分配
陶然同学
目录
相关文章
No8g攻城狮
|
域名解析 网络协议 Linux
【异常解决】UnknownHostException: api.weixin.qq.com 的解决方案
【异常解决】UnknownHostException: api.weixin.qq.com 的解决方案
No8g攻城狮
906 0
星光下的赶路人
|
缓存 API 流计算
Flink--7、窗口(窗口的概念、分类、API、分配器、窗口函数)、触发器、移除器
Flink--7、窗口(窗口的概念、分类、API、分配器、窗口函数)、触发器、移除器
星光下的赶路人
126 0
漏刻有时
|
JavaScript 定位技术 API
百度离线地图API v3.0开发解决方案
百度离线地图API v3.0开发解决方案
漏刻有时
773 0
游客rihqhtgkydneq
|
安全 Java API
解决 Swagger API 未授权访问漏洞:完善分析与解决方案
Swagger 是一个用于设计、构建、文档化和使用 RESTful 风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决 Swagger API 未授权访问漏洞问题。
游客rihqhtgkydneq
5607 0
土木林森
|
2月前
|
XML JSON API
ServiceStack:不仅仅是一个高性能Web API和微服务框架,更是一站式解决方案——深入解析其多协议支持及简便开发流程,带您体验前所未有的.NET开发效率革命
【10月更文挑战第9天】ServiceStack 是一个高性能的 Web API 和微服务框架,支持 JSON、XML、CSV 等多种数据格式。它简化了 .NET 应用的开发流程,提供了直观的 RESTful 服务构建方式。ServiceStack 支持高并发请求和复杂业务逻辑,安装简单,通过 NuGet 包管理器即可快速集成。示例代码展示了如何创建一个返回当前日期的简单服务,包括定义请求和响应 DTO、实现服务逻辑、配置路由和宿主。ServiceStack 还支持 WebSocket、SignalR 等实时通信协议,具备自动验证、自动过滤器等丰富功能,适合快速搭建高性能、可扩展的服务端应用。
土木林森
151 3
心无余温
|
3月前
|
人工智能 运维 安全
聚焦API安全未来,F5打造无缝集成的解决方案
聚焦API安全未来,F5打造无缝集成的解决方案
心无余温
88 26
杀死一只知更鸟debug
|
3月前
|
小程序 前端开发 API
微信小程序 - 调用微信 API 回调函数内拿不到 this 问题(解决方案)
本文讨论了在微信小程序中调用API回调函数时无法获取到`this`上下文的问题,并提供了解决方案。在回调函数中,使用一个变量(如`that`)来保存当前的`this`引用,然后在回调内部使用这个变量来访问当前页面的数据和方法。
杀死一只知更鸟debug
70 0
探索云世界
|
7月前
|
人工智能 Serverless API
AI 绘画平台难开发,难变现?试试 Stable Diffusion API Serverless 版解决方案
AI 绘画平台难开发,难变现?试试 Stable Diffusion API Serverless 版解决方案
探索云世界
10780 132
Jack_hrx
|
6月前
|
负载均衡 Java API
Spring Cloud Gateway 详解:构建高效的API网关解决方案
Spring Cloud Gateway 详解:构建高效的API网关解决方案
Jack_hrx
179 0
阿里云云原生
|
7月前
|
人工智能 Serverless API
AI 绘画平台难开发,难变现?试试 Stable Diffusion API Serverless 版解决方案
AI 绘画平台难开发,难变现?试试 Stable Diffusion API Serverless 版解决方案
阿里云云原生
1250 3

热门文章

最新文章

  • 1
    tensorflow object detection API训练公开数据集Oxford-IIIT Pets Dataset
  • 2
    币安(binance)API接口
  • 3
    HTML5 Storage API
  • 4
    购物车Demo,前端使用AngularJS,后端使用ASP.NET Web API(2)--前端,以及前后端Session
  • 5
    阿里云视觉智能 API,核心技术一站共享!
  • 6
    提升API文档品质:Swagger annotations (注解)使用教程
  • 7
    高性能分布式API网关Kong1
  • 8
    【chatgpt】openai api 接口调用(go语言版)
  • 9
    AIMS/MapGuide API二次开发从入门到精通视频课程系列--1
  • 10
    Docker API未授权漏洞复现
  • 1
    Java Stream API详解与使用
    92
  • 2
    Kubernetes学习-集群搭建篇(三) Node配置完善和API概述
    84
  • 3
    HTML5 Canvas 提供丰富的绘图API,支持绘制图形、文本、渐变和图像,助力游戏开发
    70
  • 4
    Java 8新特性之Lambda表达式与Stream API的深度解析
    99
  • 5
    Linux系统编程之文件编程常用API回顾和文件编程一般步骤
    80
  • 6
    阿里云微服务引擎及 API 网关 2024 年 4 月产品动态
    387
  • 7
    阿里云微服务引擎 MSE 及 API 网关 2024 年 04 月产品动态
    265
  • 8
    智能体-Agent能力升级!新增Assistant API & Tools API服务接口
    543
  • 9
    使用Performance API进行性能监控
    103
  • 10
    RESTful API的最佳实践
    64

    • 相关课程

    更多
  • 如何使用Kubernetes监控定位慢调用
  • Cloud Toolkit 开发部署效率提升神器

    • 相关电子书

    更多
  • Spring Boot2.0实战Redis分布式缓存
  • CUDA MATH API
  • API PLAYBOOK

    • 相关实验场景

    更多
  • 基于Assistant Api的旅游助手
  • 快速体验智能体API应用
  • 使用云助手公共命令快速安装Java环境
  • 基于函数计算快速搭建Zblog等传统应用框架
    • 下一篇
    fs.oss.accessKeyId和fs.oss.accessKeySecret。