审计函数 这种漏洞一般在比较多步骤的流程中出现,比如转账、找密等场景,也可重点留意几个注解如下: @SessionAttributes @ModelAttribute ... 更多信息可参考Spring MVC Autobinding漏洞实例初窥 修复方案 Spring MVC中可以使用@InitBinder注解,通过WebDataBinder的方法setAllowedFields、setDisallowedFields设置允许或不允许绑定的参数.
URL重定向 介绍 由于Web站点有时需要根据不同的逻辑将用户引向到不同的页面,如典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如果实现不好就可能导致URL重定向问题,攻击者构造恶意跳转的链接,可以向用户发起钓鱼攻击.武汉Java培训机构 漏洞示例 此处以Servlet的redirect 方式为例,示例代码片段如下: String site = request.getParameter("url"); if(!site.isEmpty()){ response.sendRedirect(site); } 审计函数 java程序中URL重定向的方法均可留意是否对跳转地址进行校验、重定向函数如下: sendRedirect setHeader forward ... 修复方案 使用白名单校验重定向的url地址 给用户展示安全风险提示,并由用户再次确认是否跳转
本篇文章是有武汉Java培训班为您呈现,希望给您带来更多更好的文章
