EntityManager.find(id) 会执行恶意攻击吗?

【问题标题】:Would EntityManager.find(id) execute malicious attack?EntityManager.find(id) 会执行恶意攻击吗?
【发布时间】:2018-10-12 19:08:54
【问题描述】:

我的休息服务从 UI 中获取“ids”参数。我的控制器如下 

@RestOutMessage
deleteEntry(List<String> ids) {
    .......
}

我在我的应用上运行 Checkmarx,它突出显示了“ids”,并报告说它容易受到 XSS 和其他 HTML 注入攻击。

在内部我的代码使用entityManager.delete(id)。 我不确定这是否安全,或者我如何解释这是否安全。

【问题讨论】:

  • XSS 和 HTML 注入发生在面向客户端的模型上,而不是服务器端模型上。
  • 谢谢,但我从 UI 中得到了“Id”
  • 如果您有来自 UI 的任何类型的事务,那么是的,攻击者可以捎带客户端 XSS 来攻击您的数据库。
  • 尝试添加更多代码,以便我们可以看到整个可疑的攻击向量。此外,Checkmarx 警告的完整描述可能会有所帮助。

标签: java rest xss sql-injection checkmarx


【解决方案1】:

我对 checkmarx 不熟悉,但我对你的问题很感兴趣。我真的不明白这行代码如何与 XSS 或 HTML 注入相关联。您可能应该只担心 SQL 注入,并且在这方面您是安全的 - Hibernate 在下面使用 PreparedStatement。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2011-03-11
    • 1970-01-01
    • 1970-01-01
    • 2019-10-09
    • 2021-05-04
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode