Web 应用程序控制器中参数映射大小验证的好处是什么 w.r.t Web 安全
What is the benefit of Parameter Map size validation in web application controller w.r.t web secuirty
我有一个 Web 应用程序 (Spring MVC) 并且对控制器中的每个参数都进行了输入数据验证。不存在的是检查接受的参数映射大小。即当控制器期望 10 个参数并且请求有 11 或 9.
我被告知参数大小对于检查以抵御任何攻击或注入很重要,即安全 pov,尤其是参数回火。这在 ZAP 扫描期间突出显示,其中 ZAP 将新参数查询添加到没有请求参数的 URL。
在我看来,除非有商业原因,否则可以跳过检查尺寸。应用程序将简单地忽略额外的参数,如果有任何小于可接受的参数,输入数据验证将负责 it.The 大小检查没有为安全性增加合理的好处。
我的推理是开发者可能只写10个参数,但底层框架可以添加更多参数。 For-ex Spring MVC 将添加一个参数(csrf token)。并且框架中的任何升级都可以或多或少地引入这些。
所以现在,问题 - 当每个参数验证都已经到位时检查参数映射的大小是否重要?这有什么真正的安全好处?
PS:我没有收到有关安全交换的回复,因此将其张贴在这里。
https://security.stackexchange.com/questions/192569/benefit-of-parameter-map-size-validation-in-web-application-controller
使用尺寸图有一些好处。例如预防 HPP 攻击等。您必须权衡维护头痛与您的应用程序遭受此类攻击的风险。 ZAP 在没有参数的 URL 上添加查询参数,以测试 DOM XSS 等一些可能被遗漏或忽略的东西。
我有一个 Web 应用程序 (Spring MVC) 并且对控制器中的每个参数都进行了输入数据验证。不存在的是检查接受的参数映射大小。即当控制器期望 10 个参数并且请求有 11 或 9.
我被告知参数大小对于检查以抵御任何攻击或注入很重要,即安全 pov,尤其是参数回火。这在 ZAP 扫描期间突出显示,其中 ZAP 将新参数查询添加到没有请求参数的 URL。
在我看来,除非有商业原因,否则可以跳过检查尺寸。应用程序将简单地忽略额外的参数,如果有任何小于可接受的参数,输入数据验证将负责 it.The 大小检查没有为安全性增加合理的好处。
我的推理是开发者可能只写10个参数,但底层框架可以添加更多参数。 For-ex Spring MVC 将添加一个参数(csrf token)。并且框架中的任何升级都可以或多或少地引入这些。
所以现在,问题 - 当每个参数验证都已经到位时检查参数映射的大小是否重要?这有什么真正的安全好处?
PS:我没有收到有关安全交换的回复,因此将其张贴在这里。 https://security.stackexchange.com/questions/192569/benefit-of-parameter-map-size-validation-in-web-application-controller
使用尺寸图有一些好处。例如预防 HPP 攻击等。您必须权衡维护头痛与您的应用程序遭受此类攻击的风险。 ZAP 在没有参数的 URL 上添加查询参数,以测试 DOM XSS 等一些可能被遗漏或忽略的东西。