Missing Object Level Authorization

前言

當透過 Checkmarx 集合為 OWASP TOP 10 - 2021 掃 ASP.NET MVC 時,
在一些有 Authorize 的 Action 上,如果接受一些 int, string 的參數直接當作DB的Filter,
Checkmarx 就會出 Missing Object Level Authorization 的中風險

解法

Checkmarx 認為這個 Action 除了登入者之外,
還需要特別的角色人員才可以執行它,
所以除了 [Authorize] 外是不行的,
需要改成 [Authorize(Roles = "某個角色")]
或是在Method中判斷是否為某個 User ,例如,

1
2
3
4
5
if (!User.IsInRole("某個角色"))
{
    ModelState.AddModelError("Unauthorized", "Unauthorized access");
    return View();
}

設定使用者及角色程式碼為,

1
2
3
var userPrincipal =
    new GenericPrincipal(new GenericIdentity("使用者代號"), new string[] { "某個角色", "角色2"});
Context.User = userPrincipal;

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw