当前位置:   article > 正文

解决高风险代码:Access Control: Database

access control: database

Abstract
如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授权的记录。

Explanation
Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据
用来指定 SQL 查询中主键的值。 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语
句, 以构建和执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。您可以从与当前被授权用户有关的
所有清单中选择这些标识符。

id = Integer.decode(request.getParameter(“invoiceID”));
String query = “SELECT * FROM invoices WHERE id = ?”;
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();

问题在于开发者没有考虑到所有可能出现的 id 值。虽然界面生成了属于当前用户的清单标识符列表,但是攻
击者可以绕过这个界面,从而获取所需的任何清单。由于此示例中的代码没有执行检查以确保用户具有访问
所请求清单的权限,因此它会显示任何清单,即使此清单不属于当前用户。 有些人认为在移动世界中,典型
的 Web 应用程序漏洞(如 Database access control 错误)是无意义的 – 为什么用户要攻击自己?但是,谨
记移动平台的本质是从各种来源下载并在相同设备上运行的应用程序。恶意软件在银行应用程序附近运行的
可能性很高,它们会强制扩展移动应用程序的攻击面(包括跨进程通信)。 示例 2: 以下代码会调整
Example 1 以适应 Android 平台。

String id = this.getIntent().getExtras().getString(“invoiceID”);
String query = “SELECT * FROM invoices WHERE id = ?”;
SQLiteDatabase db = this.openOrCreateDatabase(“DB”, MODE_PRIVATE,
null);
Cursor c = db.rawQuery(query, new Object[]{id});

许多现代 Web 框架都会提供对用户输入执行验证的机制(包括 Struts 和 Spring MVC)。为了突出显示未经
验证的输入源, Fortify 安全编码规则包会对 Fortify Static Code Analyzer( Fortify 静态代码分析器)报告的问
题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。
我们将这种功能称之为上下文敏感排序。为了进一步帮助 Fortify 用户执行审计过程, Fortify 软件安全研究团
队开发了 Data Validation(数据验证)项目模板,该模板根据应用于输入源的验证机制按文件夹对问题进行
了分组。

Recommendation
与其靠表示层来限制用户输入的值,还不如在应用程序和数据库层上进行 access control。任何情况下都不允
许用户在没有取得相应权限的情况下获取或修改数据库中的记录。每个涉及数据库的查询都必须遵守这个原
则, 这可以通过把当前被授权的用户名作为查询语句的一部分来实现。 示例 3: 以下代码实现的功能与
Example 1 相同,但是附加了一个限制,以验证清单是否属于当前经过身份验证的用户。

userName = ctx.getAuthenticatedUserName();
id = Integer.decode(request.getParameter(“invoiceID”));
String query =
“SELECT * FROM invoices WHERE id = ? AND user = ?”;
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
stmt.setString(2, userName);
ResultSet results = stmt.execute();

下面是 Android 的等同内容:

PasswordAuthentication pa = authenticator.getPasswordAuthentication();
String userName = pa.getUserName();
String id = this.getIntent().getExtras().getString(“invoiceID”);
String query = “SELECT * FROM invoices WHERE id = ? AND user = ?”;
SQLiteDatabase db = this.openOrCreateDatabase(“DB”, MODE_PRIVATE,
null);
Cursor c = db.rawQuery(query, new Object[]{id, userName});

通俗来讲,参数不能直接对其进行使用,得进行合法后进行使用或者不能直接对数据进行访问,需要满足某种情况下才可以。示例如下:

示例1:
未处理前产生的问题
在这里插入图片描述
解决后如下
在这里插入图片描述
在这里插入图片描述
示例2:
未处理前产生的问题
在这里插入图片描述
这里解释一下,IgWebSocket.getOnlineCount()是用来判断是否有用户在线,不同项目的业务判断也会不一样。比如可以判断当前用户有无登录,当前用户有无权限等进行判断。根据自己项目来
在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/776808
推荐阅读
相关标签
  

闽ICP备14008679号