CheckMarx XSRF выпуск атаки

Question

У меня есть контроллер REST, который имеет метод deleteStudent, который принимает два параметра studentId которого Long и section который String.

@RequestMapping(value="/rest/deleteStudent/studentId/{studentId}/section/{section}", method = RequestMethod.DELETE) 
public Student deleteStudent(@PathVariable Long studentId, @PathVariable String section){ 
    return studentService.deleteStudent(studentId ,section); 
} 

Для выше коды checkmarx жалуется Значение этого параметра проходит через код и, в конечном счете используется для изменения содержимого базы данных. Приложение не требует повторной аутентификации пользователя для запроса. Это может обеспечить кросс-сайт запроса подделку (XSRF).

Я пробовал Htmlutils.htmlescape (с весны web util) по разделу, но не повезло.

Как избавиться от этой проблемы checkmarkx?

Еще одна вещь, как атака XSRF и SQL-инъекций возможна, если поле имеет длинный тип?

Answer 1

Вы уверены, что это касается параметра studentId, а не параметра section?

Если это действительно так, я бы сказал, что это ложноположительный.

Если речь идет о параметре section, я бы не стал беспокоиться, если ваши SQL-запросы защищены (так что если вы используете ORM или подготовленные операторы и т. Д.).

В целом, я бы сказал, что это ложноположительный во всех случаях для инъекций SQL.

При этом, для CSRF attacks, вы действительно можете быть уязвимы.

Если хакер заставляет администратора загружать страницу, он сможет удалить любую учетную запись пользователя, даже если у вас нет доступа, если вы не реализуете защиту CSRF.