代码审计问题目录
文章目录
前言
公司要求投产前进行代码审计,问题比较多,这篇文章主要解决【安全功能-访问控制-Database】问题。
一、安全功能-访问控制-Database
公司使用的代码扫描工具为Fortify。以下为工具给出的问题原因:
Database access control 错误在以下情况下发生:1. 数据从一个不可信赖的数据源进入程序。2. 这个数据用来指定 SQL 查询中主键的值。
二、原始代码
我的代码使用的是MyBatis,代码如下
就是一个简单的根据模板编号查询的SQL,而且只有内网访问,但Fortify是静态扫描工具,他不管你谁访问。。。。
二、修复过程
根据我修复Fortify引擎暴露出来的问题来看,一般过程就是
源数据–>过滤–>转换–>替换
就可以解决
1.引入mica-core
我们使用的是gradle,版本号参考 https://www.dreamlu.net/docs/index.html
api("net.dreamlu:mica-core:2.1.1-GA")
2.编写工具类
代码如下:
public class DetourString {private String target;public String getTarget(){return target;}public voidsetTarget(String source){this.target = $.convert(source, String.class);}public DetourString(String source){this.setTarget(source);}}
关键在$.convert方法,通过底层使用封装的对象类型转换,绕过代码审计对入参的跟踪,跟踪丢失他就不管了
3.具体使用
//原始代码DpwTemplate dpwTemplate = dpwTemplateDao.getByCode(dpwTemplateCode);
//修复代码DpwTemplate dpwTemplate = dpwTemplateDao.getByCode(newDetourString(dpwTemplateCode).getTarget());
4.完美解决
总结
以上就是本地要讲的内容,后续会更新更多代码审计问题的文章。
本文转载自: https://blog.csdn.net/weixin_42426675/article/details/135861025
版权归原作者 wu嗯 所有, 如有侵权,请联系我们删除。
版权归原作者 wu嗯 所有, 如有侵权,请联系我们删除。