springboot项目,渗透测试,越权访问问题如何修改?
登录低权限账号,可以看到系统管理里面只有密码管理这一项功能:
用另一个浏览器登录高权限账号,可以看到系统管理里面有很多功能:
这里抓包将高权限账号的角色管理功能的链接复制到低权限账号的浏览器页面中访问(url:http://55.98.1.21:8809/fcpms/...),发现可以访问到相关数据:
回答:
谢邀。
看问题描述是由于权限控制不规范造成的
猜测系统权限部分只是实现了根据账号和权限,控制不可以操作的功能在菜单层面做了隐藏,实际,后端接口都没有对权限进行验证和拦截
修改方法:用成熟的RBAC等权限认证方案,后台对角色、权限、账号三个纬度进行权限分配,然后后端对每个请求做权限验证
已参与了 SegmentFault 思否社区 10 周年「问答」打卡 ,欢迎正在阅读的你也加入。
回答:
出现越权问题本质上是没有对接口鉴权
提供一个自己的思路
对所有接口进行编码,如/user/update,编码为0001,将接口权限分配给用户或角色,每次请求都进行拦截,判断当前用户是否拥有该接口权限
以上是 springboot项目,渗透测试,越权访问问题如何修改? 的全部内容, 来源链接: utcz.com/p/944501.html