允许攻击者访问unathorized记录查找

时间:2015-06-08 16:59:58

标签: asp.net

我有一个扫描结果,希望有人可以就解决问题的最佳方法提出任何想法。首先,我将显示扫描,然后查找我的代码,最后是扫描仪推荐的解决方案。

查找

如果没有适当的访问控制,Provider.cs中的方法GetAttributeKey()可以在第163行执行包含攻击者控制的主键的SQL语句,从而允许攻击者访问未经授权的记录。

应该由应用程序和数据库层处理访问控制,而不是依赖表示层来限制用户提交的值。在任何情况下都不允许用户在没有适当权限的情况下检索或修改数据库中的行。访问数据库的每个查询都应该强制执行此策略,这通常可以通过将当前经过身份验证的用户名作为查询的一部分包含在内来实现。

我的代码:

违规行

myParam.SqlParam.Value = attribute;

方式: 

public string GetAttributeKey(string attribute)
{
    string qry = "SELECT ws_attribute_key FROM webservice_attributes WHERE ws_attribute = @attribute";

    QueryContainer Instance = new QueryContainer(qry);

    MyParam myParam = new MyParam();

    myParam.SqlParam = new SqlParameter("@attribute", Instance.AddParameterType(_DbTypes._string));

    myParam.SqlParam.Value = attribute;

    Instance.parameterList.Add(myParam);

    object key = ExecuteScaler(Instance);

    return Convert.ToString(key);
}

扫描程序的推荐修复: 

string user = ctx.getAuthenticatedUserName();
int16 id = System.Convert.ToInt16(invoiceID.Text);
SqlCommand query = new SqlCommand(
            "SELECT * FROM invoices WHERE id = @id AND user = @user", conn);
query.Parameters.AddWithValue("@id", id);
query.Parameters.AddWithValue("@user", user);
SqlDataReader objReader = query.ExecuteReader();

我认为问题在于处理调用GetAttributeKey的代码。仅当用户无权访问属性时才调用该方法。我想我需要某种类型的检查。这是调用代码:



 
            if (result.Rows.Count > 0)
            {
                // get the attribute
                DataRow[] rows = result.Select("ws_attribute = '" + attribute + "'");
                if (rows.Length > 0)
                {
                    // check time range
                    string hr = DateTime.Now.Hour.ToString();
                    DataRow[] valid = result.Select("ws_attribute = '" + attribute + "' AND start_time <= " + hr + " AND end_time >= " + hr);
                    if (valid.Length > 0)
                    {
                        ws_user_attribute_key = Convert.ToInt32(valid[0]["ws_user_attribute_key"].ToString());
                        ret = true;

                        // generate salt
                        TextEncryptor te = new TextEncryptor();
                        salt = te.CreateSalt(8);

                        // save to the log, return false if failed to log
                        if (!LogTransfer(ipAddress, accessDate, fileName, ws_user_attribute_key, salt, out logKey))
                            return false;
                    }
                    else
                    {
                        ret = false;
                        LogInvalidAccess(username, rows[0]["ws_attribute_key"].ToString(), ipAddress, accessDate, WSInvalidAccessReason.OutsideValidTimeRange);
                    }
                }
                else
                {
                    // if user has no access to attribute
                    ret = false;
                    LogInvalidAccess(username, GetAttributeKey(attribute), ipAddress, accessDate, WSInvalidAccessReason.AttributeNotAccessible);
                }
            }
            else
            {
                ret = false;
                LogInvalidAccess(username, GetAttributeKey(attribute), ipAddress, accessDate, WSInvalidAccessReason.InvalidAccount);
            }
&#13;
&#13;
&#13;

0 个答案:

没有答案
相关问题
最新问题