不正确的访问控制授权-CheckMarx-文件读/写操作
访问控制授权不当
在读/写方法时,将数据从文件中写入输出流。
private ByteArrayOutputStream createToByteArray(String fileName) throws IOException {
byte[] buf = new byte[1024];
try (InputStream is = Files.newInputStream(Paths.get(fileName))) {
int len = is.read(buf);
ByteArrayOutputStream os = new ByteArrayOutputStream();
while (len != -1) {
os.write(buf, 0, len);
len = is.read(buf);
}
return os;
}
}
共有1个答案
您希望用户可以通过路径从文件系统中读取文件,并将其转换为字节流。好吧。
但是如果用户给你一个绝对的文件路径呢?还是相对的(例如../../.ssh/id_rsa)?
不管是谁发送请求,请求的访问权限实际上就是服务器访问权限(因为这段代码当然是在服务器上运行的)。
if (user.equals("admin")){
try (InputStream is = Files.newInputStream(Paths.get(fileName))) {
...
}
}
-
问题内容: 我正在使用Checkmarx安全工具来扫描我的代码,这就是说,当我对数据库执行executeUpdate()命令时,即为“不正确的资源访问授权”。 各种谷歌搜索没有成功。 问题答案: 添加一些执行访问控制检查的代码,这些代码使用诸如“ admin ”,“ authoriz ”或“ allowed ”之类的词
-
我正在使用Checkmarx安全工具扫描我的代码,它说当我对数据库执行executeUpdate()命令时,这是“不正确的资源访问授权”。 各种谷歌搜索都没有成功。
-
认证(Authentication)是指任何识别用户身份的过程。授权(Authorization)是允许特定用户访问特定区域或信息的过程。 相关模块和指令 认证和授权涉及到三组模块。通常,你需要从每一组中选择至少一个模块。 认证类型模块(参见AuthType指令) mod_auth_basic mod_auth_digest 认证支持模块 mod_authn_alias mod_authn_ano
-
Kubernetes 从 1.6 开始支持基于角色的访问控制机制(Role-Based Access,RBAC),集群管理员可以对用户或服务账号的角色进行更精确的资源访问控制。在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角
-
我有以下JPA存储库代码: 我得到了
-
大家好,我想给文件以读模式或写模式打开的权限。ext包含文件扩展名,file_name包含文件名。f_p是一个可验证的输入,其中I是作为“r”或“w”模式的输入。这里我在不同的位置使用相同的文件 但是在这段代码中,我得到了错误,因为找不到符号:方法setReadable(布尔)location:fos2是FileOutputStream类型 <% %>https://jsfiddle.net/wc