Checkmarx | 使用 DefaultRequestHeaders.Authorization 卻被 Checkmarx 判斷有 Privacy Violation 的 Issue

前言

透過 HttpClient 呼叫 api 時,透過 DefaultRequestHeaders.Authorization 設定 Token 的程式碼,
Checkmarx V9.4.5 HF16 掃出有 Privacy Violation 的 Issue。
為什麼這樣呢?

研究與解法

測試的程式碼如下,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
public class ParameterModel
{
    public string Token { get; set; }
    public string Text { get; set; }
}

[HttpPost("[action]")]
public async Task<string> CheckParameter(ParameterModel data)
{
	var httpClient = new HttpClient();
	httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", data.Token);
	var parameters = new Dictionary<string, string>();
	parameters["text"] = data.Text;

	var response = await httpClient.PostAsync($"api/Eye/CheckSPEEDEyeEditParameter", new FormUrlEncodedContent(parameters));
	var contents = await response.Content.ReadAsStringAsync();
	return HttpUtility.HtmlEncode(contents);
}

Checkmarx 的說明:
方法 CheckParameter 在 WebApplication1/WebApplication1/Controllers/WeatherForecastController.cs 第 89 行將
使用者個人資訊送至應用程式外。這可能構成侵犯隱私權(Privacy Violation)
Source: Authorization
Target: contents

1
2
3
4
92. httpClient.DefaultRequestHeaders.Authorization = new
AuthenticationHeaderValue("Bearer", data.Token);
....
98. return HttpUtility.HtmlEncode(contents);

Checkmarx 是怎麼找的呢?

在 checkmarx 中會找一些個人資訊相關的欄位資訊,如下,

1
2
3
4
5
6
7
8
9
10
11
12
CxList tempResult = All.FindByShortNames(new List<string> {
		"*Credit*",
		"*credentials*",
		"*secret*",
		"*Account*",
		"*SSN",
		"DOB",
		"SSN*",
		"*SocialSecurity*",
		"DeviceUniqueId",
		"auth*",
		"*passport*"}, false);

httpClient.DefaultRequestHeaders.Authorization 中的 Authorization 符合 auth*
找到後,最後又呼叫 httpClient.PostAsync 取回資料,傳出 contents。
所以 Checkmarx 覺得有問題,因為它並不知道它是 api 所需要的 HTTP Header。

解法

有以下 2 種解決方式

1.在 Checkmarx 上,將該問題設定為 不可利用

2.改使用 字串的方式(httpClient.DefaultRequestHeaders.Add("Authorization", $"Bearer {data.Token}")),如下,

1
2
3
4
5
6
7
8
9
10
11
12
13
[HttpPost("[action]")]
public async Task<string> CheckParameter2(ParameterModel data)
{
	var httpClient = new HttpClient();
	//httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", data.Token);
	httpClient.DefaultRequestHeaders.Add("Authorization", $"Bearer {data.Token}");
	var parameters = new Dictionary<string, string>();
	parameters["text"] = data.Text;

	var response = await httpClient.PostAsync($"api/Eye/CheckSPEEDEyeEditParameter", new FormUrlEncodedContent(parameters));
	var contents = await response.Content.ReadAsStringAsync();
	return HttpUtility.HtmlEncode(contents);
}

參考資源

Privacy Violation - Checkmarx V9.4.5 HF16

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw