跨站点历史记录操作(检查马克斯)
有谁知道如何修复Checkmarx漏洞 - 基于java的应用程序的跨站点历史记录操作?以下是Checkmarx扫描提供的描述 - “该方法可能会泄漏服务器端条件值,从而允许用户从另一个网站进行跟踪。这可能构成侵犯隐私。
这是相关代码:
if(user is logged in) {
response.sendRedirect(url);
} else {
response.sendRedirect(url)
}
通过谷歌搜索,我发现了一些Checkmarx留档,建议在重定向网址中添加一个随机数。这是文档的链接:https://www.checkmarx.com/wp-content/uploads/2012/07/XSHM-Cross-site-history-manipulation.pdf
例如:
If ( !isAuthenticated)
Redirect(„Login.aspx?r=‟ + Random())
我尝试了这种方法,但Checkmarx扫描仍然显示相同的vulnerability.Not确定原因。
共有2个答案
Checkmarx是检查重定向url是否包含一些随机值。以下是通过Java/Cx/General/Find_Cross_Site_History_Mopulation_random检查的一些随机方法:
Random.NextMath.random随机化r.*Random.nextBytes
XSHM可能是CWE-203(http://cwe.mitre.org/data/definitions/203.html)从CX留档。
这个问题可能复杂,也可能简单。仅凭你的5行文字,我们无法准确说出什么是好的解决方案。
-
读取播放历史信息 调用地址 http://api.bilibili.cn/history 返回 返回值字段 字段类型 字段说明 results int 返回的记录总数目 list object 返回数据 返回字段 “list” 子项 返回值字段 字段类型 字段说明 aid int 视频编号 typeid int 视频分类ID typename string 视频分类名称 title string
-
历史记录 控制台维护 Elasticsearch 成功执行的最后500个请求列表。点击窗口右上角的时钟图标即可查看历史记录。这个图标会打开历史记录面板,您可以在其中查看历史请求。您也可以在这里选择一个请求,它将被添加到编辑器中当前光标所在的位置。 图 9. 历史记录面板
-
3.3.1.1. 同步的文件历史记录 微力同步记录对文件的添加,修改、删除的操作记录,通过历史记录列表可查看时间时间及发生设备,如下: 事件时间,显示添加、修改、删除等操作发生的时间; 文件时间,显示该文件的最后修改时间; 操作类型,显示此次针对该文件所进行的操作的类型; 发生设备,显示进行此操作的设备名称; 目录,显示该文件所属同步目录; 清空历史记录,点击后可清除所有记录,此操作仅清除记录而已
-
在“警报历史记录”页面中,你可以浏览警报表格、打开特定警报、将其分配给用户或一次选择多个警报。 警报表格会自动更新,每 60 秒检查一次新警报。它基于触发警报的时间显示最近 10 个警报。警报是按照发出时间排序(开始时间)。而点击列标题则会按该列排序。 所有受监控的实例都显示在左侧窗格中。选择一个级别以仅显示与之相关的警报。 若要更改每页显示的警报数量,请点击“X / 页”并选择预定义的数字。默认
-
入口: 在路线规划右上角,有历史记录入口,无论“单路线规划”、“多路线规划”的结果,都会自动进行记录,点击进入该界面 在“路线规划”模块下展开二级模块“历史记录”,可以点击进入 历史记录列表 支持按照时间搜索记录 支持单个删除记录 支持一键删除全部记录 支持点击查看规划历史详情 历史详情 记录规划人、规划时间、规划结果 结果详情界面回放、支持点击查看
-
我的案例是批准、拒绝或返回我的请求,并基于该工作流更改其状态。candence如何帮助保存/检索每个工作流的所有操作历史。