Saya memiliki beberapa API yang melakukan operasi Database . Setiap kali saya mengunggah kode saya ke checkmarx saya mendapatkan kesalahan berikut dan ditandai sebagai kesalahan kerentanan tinggi Adakah yang bisa membantu saya?

Kesalahan

Metode CreateDatabaseAndMapToDomain aplikasi mengeksekusi kueri SQL dengan executeQuery, pada baris 717 daas-springboot-CheckMarxIntegration\src\main\Java\com\it\daas\apis\service\PostgresConnectionServiceImpl.java. Aplikasi membuat kueri SQL ini dengan menyematkan string yang tidak tepercaya ke dalam kueri tanpa sanitasi yang tepat. String gabungan dikirimkan ke database, di mana ia diuraikan dan dieksekusi sesuai.

Penyerang mungkin dapat menulis data arbitrer ke database, yang kemudian diambil oleh aplikasi dengan executeQuery dalam metode getDomains pada baris 678 dari daas-springboot-CheckMarxIntegration\src\main\Java\com\it\daas\apis\service \PostgresConnectionServiceImpl.java. Data ini kemudian mengalir melalui kode, hingga digunakan langsung dalam kueri SQL tanpa sanitasi, dan kemudian dikirimkan ke server database untuk dieksekusi

Inilah fungsi saya

    @Override
public String getDomains() throws SQLException {

    String domainquery = "SELECT id,domain FROM domain";
    Connection con = null;
    PreparedStatement st = null;
    ResultSet result = null;
    try
    {
        con = ConnectToPostgresapibuilderDatabase(apibuilderConnectionString, apibuilderUserName,apibuilderPassword);
        con.setSchema(this.schema);
        st = con.prepareStatement(domainquery);
        result = st.executeQuery();

        ArrayList<DatabaseDomainBean> list = new ArrayList<DatabaseDomainBean>();
        while (result.next()) {
            list.add(new DatabaseDomainBean(result.getString("domain"), result.getString("id")));
        }
        return new JSONObject().put("domainlist", list).toString();


    }
    catch(Exception e)
    {

        e.printStackTrace();
        return null;
    }
    finally{

        result.close();
        st.close();
        con.close();

    }


}

@Override
public String CreateDatabaseAndMapToDomain(String database, String[] domainIds, String password)
        throws SQLException {

    if (!this.apibuilderPassword.equals(password)) {
        return null;
    }
    else if(database==null || domainIds==null || password ==null)
    {
        return "Failure";
    }


    Connection con =null;
    PreparedStatement st =null;
    ResultSet ispresent =null;
    PreparedStatement mapquerystmnt =null;
    ResultSet resultMapping = null;

    try
    {
        con = ConnectToPostgresapibuilderDatabase(apibuilderConnectionString, apibuilderUserName,apibuilderPassword);
        con.setSchema(this.schema);

        for (int i = 0; i < domainIds.length; i++) {

            con.setSchema(this.schema);

            String IfExists = MessageFormat.format(
                    "SELECT databasename,domainid FROM Databases WHERE databasename IN (?) AND domainid IN (?)",
                    Utilitymethods.ConvertToMessageFormatCompatibleForm(database),
                    Utilitymethods.ConvertToMessageFormatCompatibleForm(domainIds[i]));

            st = con.prepareStatement(IfExists);
            st.setString(1, database);
            st.setInt(2, Integer.parseInt(domainIds[i]));
            ispresent = st.executeQuery();

            if (!ispresent.next()) {
                // INSERT INTO Databases (databasename,domainid) VALUES ('Teradata','1')
                String mapquery = MessageFormat.format(
                        "INSERT INTO Databases (databasename,domainid) VALUES (?,?) returning Id",
                        Utilitymethods.ConvertToMessageFormatCompatibleForm(database),
                        Utilitymethods.ConvertToMessageFormatCompatibleForm(domainIds[i]));
                 mapquerystmnt = con.prepareStatement(mapquery);
                 mapquerystmnt.setString(1, database);
                 mapquerystmnt.setInt(2, Integer.parseInt(domainIds[i]));
                 resultMapping =  mapquerystmnt.executeQuery();
            }

        }

        return "Success";

    }
    catch(Exception e)
    {
        e.printStackTrace();
        return "Failure";

    }
    finally
    {

        ispresent.close();
        st.close();
        resultMapping.close();
        mapquerystmnt.close();
        con.close();
    }





}


@Override
public String getDomains() throws SQLException {

    String domainquery = "SELECT id,domain FROM domain";
    Connection con = null;
    PreparedStatement st = null;
    ResultSet result = null;
    try
    {
        con = ConnectToPostgresapibuilderDatabase(apibuilderConnectionString, apibuilderUserName,apibuilderPassword);
        con.setSchema(this.schema);
        st = con.prepareStatement(domainquery);
        result = st.executeQuery();

        ArrayList<DatabaseDomainBean> list = new ArrayList<DatabaseDomainBean>();
        while (result.next()) {
            list.add(new DatabaseDomainBean(result.getString("domain"), result.getString("id")));
        }
        return new JSONObject().put("domainlist", list).toString();


    }
    catch(Exception e)
    {

        e.printStackTrace();
        return null;
    }
    finally{

        result.close();
        st.close();
        con.close();

    }


}
0
Dwijraj Bhattacharyya 29 Mei 2020, 11:43

1 menjawab

Jawaban Terbaik

Coba dengan st = con.prepareStatement("SELECT id,domain FROM domain") secara langsung. Sepertinya tanda centang bingung karena pernyataan String domainquery = "SELECT id,domain FROM domain" dan kemungkinan injeksi sql.

1
notacorn 30 Mei 2020, 10:39