关于安全审计Struts2应用程序

时间:2016-02-25 07:13:32

标签: java hibernate security audit fortify

在Forify Audit中,我遇到了问题,访问控制:数据库。我的应用程序是公共访问。 Forify建议检查正确的用户或用户应该进行身份验证。但是没有登录/注销的东西,意味着没有用户。受感染的代码是**:

摘要:没有适当的访问控制,方法中的transactions() DAOImpl.java可以在第147行执行包含的SQL语句 攻击者控制的主键,从而允许攻击者访问未经授权的 记录。

来源:Action.java:272 javax.servlet.ServletRequest.getParameter()

270 try {
271 String tehsil=request.getParameter("tehsilname");
272 String tehsilname=request.getParameter("tehsilcode");
273 sessionmap.put("tehsil", tehsilname);
274 **int month=Integer.parseInt(sessionmap.get("monthInString"));**         

Sink:DAOImpl.java:147 org.hibernate.Query.setInteger()

145 query.setString(0, dist);
146 query.setInteger(1, month);
147 **query.setInteger(2, year);**
148 list = query.list();
149 }catch (Exception e) {

0 个答案:

没有答案