问题如下,springboot后端,网站扫码出了越权漏洞,如下问题如何规避
问题描述
越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐后后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。
测试过程
登录低权限账号,可以看到系统管理里面只有密码管理这一项功能:
用另一个浏览器登录高权限账号,可以看到系统管理里面有很多功能:
这里抓包将高权限账号的角色管理功能的链接复制到低权限账号的浏览器页面中访问(url:http://55.98.1.21:8809/fcpms/...),发现可以访问到相关数据:
安全建议
建议对用户操作进行权限校验,防止通过修改参数等进入未授权页面及进行非法操作,建议在服务端对请求的数据和当前用户身份做校验检查。
回答:
这种问题应该在接口测试的时候就要暴露出来。
怎么规避:
- 测试可能需要调整测试用例。
以上是 问题如下,springboot后端,网站扫码出了越权漏洞,如下问题如何规避 的全部内容, 来源链接: utcz.com/p/944482.html
