代码是别人写的,我只负责代码扫描漏洞修复
项目用的是myBatis-plus,部分业务无法使用框架提供的QueryWrapper来实现,因此在xml文件中手写的sql,
所以在代码扫描时报出Access Control: Database漏洞,
在网上找了一种方法是在mapper的namespace后面加后缀,项目运行时再去掉后缀来躲避扫描,
但是此方法导致QueryWrapper不能使用,调用接口时报错:无法找到selectList()方法(QueryWrapper提供的方法)
求解决方法,不修改原来业务逻辑(原业务逻辑不是我写的)并且代码修改量小(项目中此漏洞有800多个)
Fortify漏洞:Access Control: Database修复
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
4条回答 默认 最新
嗷呜大嘴狼 2022-12-28 11:23关注为了修复 Fortify 漏洞“Access Control: Database”,你可以考虑以下几种方法:
使用框架提供的查询条件工具类(如 mybatis-plus 的 QueryWrapper)来替代手写的 sql。这样可以保证在执行数据库查询时能够自动做到权限控制。
对手写的 sql 进行参数校验,确保在执行数据库查询时不会越过授权范围。可以使用常用的参数校验库(如 Apache Commons Validator)来实现。
在数据库中设置视图或存储过程来代替手写的 sql。这样可以在数据库层面对数据进行权限控制,避免漏洞的产生。
解决 无用评论 打赏举报 分享
- 2023-02-23 18:52回答 4 已采纳 参考GPT和自己的思路,这个错误提示是指 Fortify 扫描器在分析您的代码时遇到了一个 lambda 表达式,但是该 lambda 表达式返回类型被错误地识别为 void 类型。lambda 表达
- 2021-03-31 09:50回答 2 已采纳 从conda创建的环境中退出来,之后进入cpan,然后执行install Math::CDF 应该就可以了
- 2019-01-29 06:57回答 1 已采纳 The problem unrecognized import path (import path does not begin with hostname) problem happens wh
- 2022-12-12 17:22编程六娃的博客 Access Control: Database
- 2014-08-26 13:11回答 1 已采纳 The problem turned out to be that I had put directives from the http_mp4_module in the location /
- 回答 1 已采纳 我也遇到这个问题,搞了大半个晚上。我是参照这个链接解决的:https://www.cnblogs.com/BambooEatPanda/p/11076778.html 先去/usr/bin下面查找有
- 2022-02-10 16:18回答 1 已采纳 conda install -c conda-forge lap
- 2022-06-23 21:38何阳阳的博客 项目使用了Mybatis该如何屏蔽Access Control Database漏洞
- 2021-12-20 16:14回答 4 已采纳 安装gccyum -y install gcc gcc-c++ autoconf pcre pcre-devel make automakeyum -y install wget httpd-tool
- 2011-08-18 12:24回答 1 已采纳 建议普通的Java开发没必要用RSA系列的东西,这东西其实就是ECLIPSE加了很多IBM自己的插件而已,其本身很臃肿,里面的功能大多是用不上的.一般就用eclipse或者Myeclipse即可.
- 2022-03-08 16:53回答 2 已采纳 把#include_netx 这行注释掉 或者改成#include 试试
- 2019-09-21 13:39arkqyo2595的博客 继续对Fortify的漏洞进行总结,本篇主要针对Access Control: Database(数据越权)的漏洞进行总结,如下: 1、Access Control: Database(数据越权) 1.1、产生原因: Database access control 错误在以下情况下...
- 2021-04-21 09:21回答 1 已采纳 函数`uloop_run`,在main.c中没有定义或声明。 如果确认函数存在,那需要在main.c里面进行声明或引用相应的头文件。
- 2021-03-04 06:03Lorraine张的博客 继续对Fortify的漏洞进行总结,本篇主要针对Access Control: Database(数据越权)的漏洞进行总结,如下:1、Access Control: Database(数据越权)1.1、产生原因:Database access control 错误在以下情况下发生:1....
- 2020-08-21 09:01¥三石的博客 解決 Fortify Access Control: Database 方法如下 ①主鍵和字段避免包含ID命名。 ②根據ID查詢數據記錄,請使用dao層原生byId方法,不使用sql。
- 2022-10-05 18:37安全新司机的博客 Database 场景 访问数据未经访问权限控制, 存在越权查看数据漏洞 3.1 存在漏洞代码 通过 id 查询用户信息, 未对数据访问权限检查, 导致攻击者越权查看未授权的数据, 造成横向越权 @Slf4j @RestController @...
- 2018-07-21 09:15Dongguabai的博客 在扫描结果文件中是这么描述的: 大概明白问题的原因是:1....2.在进行查询的时候有多处地方是根据主键查询的。...这样的确会出现一个问题,因为攻击者会根据后台url使用轮询的方式扫描主键,从而获取信息。...
- 没有解决我的问题, 去提问
问题事件
系统已结题
1月5日
创建了问题
12月28日
悬赏问题
- ¥15 Qt4代码实现下面的界面
- ¥15 prism提示我reinstall prism 如何解决
- ¥15 asp.core 权限控制怎么做,需要控制到每个方法
- ¥20 while循环中OLED显示中断中的数据不正确
- ¥15 这个视频里的stm32f4代码是怎么写的
- ¥15 JNA调用DLL报堆栈溢出错误(0xC00000FD)
- ¥15 请教SGeMs软件的使用
- ¥15 自己用vb.net编写了一个dll文件,如何只给授权的用户使用这个dll文件进行打包编译,未授权用户不能进行打包编译操作?
- ¥50 深度学习运行代码直接中断
- ¥20 需要完整的共散射点成像代码