当前位置: 首页 > 知识库问答 >
问题:

在Sonarq的安全热点收到警告,请确保在此处安全控制

钮刚洁
2023-03-14
    ClaimsPrincipal principal = new ClaimsPrincipal(identity);
    

控制权限是安全敏感的。它在过去导致了以下漏洞:

 CVE-2018-12999
 CVE-2018-10285
 CVE-2017-7455

建议是这样的。安全原则演示{类我的身份:敏感的,自定义的IId实体实现应该被审查{//...}

class MyPrincipal : IPrincipal // Sensitive, custom IPrincipal implementations should be reviewed
{
    // ...
}
[System.Security.Permissions.PrincipalPermission(SecurityAction.Demand, Role = "Administrators")] // Sensitive. The access restrictions enforced by this attribute should be reviewed.
static void CheckAdministrator()
{
    WindowsIdentity MyIdentity = WindowsIdentity.GetCurrent(); // Sensitive
    HttpContext.User = ...; // Sensitive: review all reference (set and get) to System.Web HttpContext.User
    AppDomain domain = AppDomain.CurrentDomain;
    domain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal); // Sensitive
    MyIdentity identity = new MyIdentity(); // Sensitive
    MyPrincipal MyPrincipal = new MyPrincipal(MyIdentity); // Sensitive
    Thread.CurrentPrincipal = MyPrincipal; // Sensitive
    domain.SetThreadPrincipal(MyPrincipal); // Sensitive

    // All instantiation of PrincipalPermission should be reviewed.
    PrincipalPermission principalPerm = new PrincipalPermission(null, "Administrators"); // Sensitive
    principalPerm.Demand();

    SecurityTokenHandler handler = ...;
    // Sensitive: this creates an identity.
    ReadOnlyCollection<ClaimsIdentity> identities = handler.ValidateToken(…);
}

 // Sensitive: review how this function uses the identity and principal.
void modifyPrincipal(MyIdentity identity, MyPrincipal principal)
{
    // ...
}

}

共有1个答案

窦宏旷
2023-03-14

没关系我是通过删除私人只读来解决的

 类似资料:
  • 安全告警即实时监测系统中的安全告警事件,如异常登录等,当发现安全问题后,将会及时通知管理员用户进行处理等。 安全告警即实时监测系统中的安全告警事件,如异常登录等,当发现安全问题后,将会及时通知管理员用户进行处理等。目前仅支持异常登录的安全告警事件,当用户连续登录失败后被锁定将会发送安全告警记录发送给锁定用户以及用户所在域的域管理员和系统管理员。 说明 管理后台下可以看到系统所有的安全告警记录; 域

  • 安全告警即实时监测系统中的安全告警事件,如异常登录等,当发现安全问题后,将会及时通知管理员用户进行处理等。 安全告警 安全告警即实时监测系统中的安全告警事件,如异常登录等,当发现安全问题后,将会及时通知管理员用户进行处理等。

  • 当我声明一个变量时,比如: 我得到这个错误在声纳: 确保在此处使用此伪随机数生成器是安全的。 我应该如何解决这个问题?我的代码有什么问题? 有人能帮我吗?

  • 这是配置log4j2的代码。xml文件。问题是sonar在setConfiguration上显示了安全热点问题。如何避免?

  • 我用cPanel创建了一个cronjob。 每隔一段时间,它会运行这个php文件来生成备份: 常量、和存储在文件中。 每次cron运行时,我都会收到以下警告消息: 警告:在命令行界面上使用密码可能不安全。 我以为在那里添加常量是安全的,所以我的问题是: 如何以安全的方式运行cron作业?

  • 本任务将演示如何通过使用Istio认证提供的服务账户,来安全地对服务做访问控制。 当Istio双向TLS认证打开时,服务器就会根据其证书来认证客户端,并从证书获取客户端的服务账户。服务账户在source.user的属性中。请参考Istio auth identity了解Istio中服务账户的格式。 开始之前 根据quick start的说明在开启认证的Kubernetes中安装Istio。注意,应