学校内部系统 被不法教师攻陷了

本贴最后更新于 3388 天前,其中的信息可能已经时移世异

事情是这样的

学校发现了一个可以帮助学生刷分的广告贴

然后让我们追查之下 发现有用户确实进行了刷分操作

但是 这个系统 是学校内部的系统,评分的 url 都是具有一定权限的教师才能访问的

分析是有一个评分教师 利用另一个无权限账号登陆后,直接访问评分的 url,然后进行评分操作 。

系统并没有在 action 里再次做一个权限校验,因为如果不是拥有权限的教师 肯定不会知道这个 url

疑问 1:这个算是安全漏洞吗?

疑问 2:有什么好的解决方案吗?

我们现在采用一个 action 白名单,在用户登录的时候 查询用户能访问的 action 列表,放到 session 中,在 filter 中进行比对

疑问 3:准备增加一套用户行为记录机制,并记录访问者 ip。这个模型有什么好的建议吗?

校园内部的系统 是收费的 达到一定分数可以获取本科毕业证的!!!

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • 88250

    算是安全漏洞的,没权限的账号操作时肯定要拦掉。总体感觉就是你们一开始设计的时候没考虑操作权限和数据权限,慢慢改进吧~

    另外还需要增加一个事后处理的管理后台,比如发现刷分,要能方便的吧分扣回去或者惩罚机制什么的。

  • zjq0tachyon

    必须算是安全漏洞,解决方案:禁止直接访问链接。

  • crick77
    作者

    @zjq0tachyon 怎么禁止? 全 ajax?

  • crick77
    作者

    @88250 大佬啊 看我尽力了 他们还是喜欢 QQ 群啊

  • 88250

    @crick77 唉,怎么说呢。

    一个帖子不足以说明任何问题,因为用户的习惯真的不是一时半会可以改变的。

    加油加油,帮助我一起尝试一个有意义的事情。

  • armstrong 2

    oplog + 权限管理。不管系统多烂,就算权限管理不完善,至少保证有 oplog,毕竟事后追查刷再多分也没用,一样可以打回圆形。

  • crick77
    作者

    @armstrong oplog 没用过 这个有什么优势吗? 能不能简单介绍两句?

  • wizardforcel 1

    req handler 里面不做权限校验就是作死。

  • crick77
    作者

    @wizardforcel 实在 filter 做了 session user 验证 因为 这个 url 肯定是只有有权限的老师才能进去 并且知道 所以疏忽了

  • hongdanyang1991

    hello world

    该回帖因偏离主题而被折叠
    1 操作
    88250 在 2019-07-12 21:24:01 折叠了该回帖
  • kevinBobo 1 via macOS

    什么代码写的? java 的话用的什么基本框架还是就是过滤器实现的?
    你说的问题就是安全框架不完善的问题
    建议完善优化 java 推荐使用 spring security

    2 回复
  • DevYui 1

    朋友,已经两年了。

  • crick77 via macOS
    作者

    感谢,让我回顾了一下两年前的系统架构

  • 88250

    我也回顾了一下,把标题看成了“学校内部系统 被法师攻陷了” 😂

    1 回复
  • 我也是

请输入回帖内容 ...

推荐标签 标签

  • Caddy

    Caddy 是一款默认自动启用 HTTPS 的 HTTP/2 Web 服务器。

    10 引用 • 54 回帖 • 176 关注
  • Openfire

    Openfire 是开源的、基于可拓展通讯和表示协议 (XMPP)、采用 Java 编程语言开发的实时协作服务器。Openfire 的效率很高,单台服务器可支持上万并发用户。

    6 引用 • 7 回帖 • 118 关注
  • etcd

    etcd 是一个分布式、高可用的 key-value 数据存储,专门用于在分布式系统中保存关键数据。

    6 引用 • 26 回帖 • 541 关注
  • 脑图

    脑图又叫思维导图,是表达发散性思维的有效图形思维工具 ,它简单却又很有效,是一种实用性的思维工具。

    32 引用 • 99 回帖
  • 京东

    京东是中国最大的自营式电商企业,2015 年第一季度在中国自营式 B2C 电商市场的占有率为 56.3%。2014 年 5 月,京东在美国纳斯达克证券交易所正式挂牌上市(股票代码:JD),是中国第一个成功赴美上市的大型综合型电商平台,与腾讯、百度等中国互联网巨头共同跻身全球前十大互联网公司排行榜。

    14 引用 • 102 回帖 • 312 关注
  • Sandbox

    如果帖子标签含有 Sandbox ,则该帖子会被视为“测试帖”,主要用于测试社区功能,排查 bug 等,该标签下内容不定期进行清理。

    436 引用 • 1238 回帖 • 587 关注
  • golang

    Go 语言是 Google 推出的一种全新的编程语言,可以在不损失应用程序性能的情况下降低代码的复杂性。谷歌首席软件工程师罗布派克(Rob Pike)说:我们之所以开发 Go,是因为过去 10 多年间软件开发的难度令人沮丧。Go 是谷歌 2009 发布的第二款编程语言。

    500 引用 • 1395 回帖 • 245 关注
  • OpenCV
    15 引用 • 36 回帖 • 7 关注
  • Latke

    Latke 是一款以 JSON 为主的 Java Web 框架。

    71 引用 • 535 回帖 • 830 关注
  • Angular

    AngularAngularJS 的新版本。

    26 引用 • 66 回帖 • 560 关注
  • Hadoop

    Hadoop 是由 Apache 基金会所开发的一个分布式系统基础架构。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力进行高速运算和存储。

    93 引用 • 122 回帖 • 619 关注
  • 创造

    你创造的作品可能会帮助到很多人,如果是开源项目的话就更赞了!

    186 引用 • 1021 回帖
  • SVN

    SVN 是 Subversion 的简称,是一个开放源代码的版本控制系统,相较于 RCS、CVS,它采用了分支管理系统,它的设计目标就是取代 CVS。

    29 引用 • 98 回帖 • 695 关注
  • 分享

    有什么新发现就分享给大家吧!

    248 引用 • 1794 回帖 • 3 关注
  • 叶归
    12 引用 • 56 回帖 • 21 关注
  • B3log

    B3log 是一个开源组织,名字来源于“Bulletin Board Blog”缩写,目标是将独立博客与论坛结合,形成一种新的网络社区体验,详细请看 B3log 构思。目前 B3log 已经开源了多款产品:SymSoloVditor思源笔记

    1063 引用 • 3455 回帖 • 151 关注
  • SOHO

    为成为自由职业者在家办公而努力吧!

    7 引用 • 55 回帖 • 1 关注
  • Node.js

    Node.js 是一个基于 Chrome JavaScript 运行时建立的平台, 用于方便地搭建响应速度快、易于扩展的网络应用。Node.js 使用事件驱动, 非阻塞 I/O 模型而得以轻量和高效。

    139 引用 • 269 回帖 • 1 关注
  • 服务器

    服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。

    125 引用 • 585 回帖
  • 小薇

    小薇是一个用 Java 写的 QQ 聊天机器人 Web 服务,可以用于社群互动。

    由于 Smart QQ 从 2019 年 1 月 1 日起停止服务,所以该项目也已经停止维护了!

    35 引用 • 468 回帖 • 761 关注
  • danl
    174 关注
  • BAE

    百度应用引擎(Baidu App Engine)提供了 PHP、Java、Python 的执行环境,以及云存储、消息服务、云数据库等全面的云服务。它可以让开发者实现自动地部署和管理应用,并且提供动态扩容和负载均衡的运行环境,让开发者不用考虑高成本的运维工作,只需专注于业务逻辑,大大降低了开发者学习和迁移的成本。

    19 引用 • 75 回帖 • 676 关注
  • IDEA

    IDEA 全称 IntelliJ IDEA,是一款 Java 语言开发的集成环境,在业界被公认为最好的 Java 开发工具之一。IDEA 是 JetBrains 公司的产品,这家公司总部位于捷克共和国的首都布拉格,开发人员以严谨著称的东欧程序员为主。

    181 引用 • 400 回帖 • 3 关注
  • Spark

    Spark 是 UC Berkeley AMP lab 所开源的类 Hadoop MapReduce 的通用并行框架。Spark 拥有 Hadoop MapReduce 所具有的优点;但不同于 MapReduce 的是 Job 中间输出结果可以保存在内存中,从而不再需要读写 HDFS,因此 Spark 能更好地适用于数据挖掘与机器学习等需要迭代的 MapReduce 的算法。

    74 引用 • 46 回帖 • 569 关注
  • Git

    Git 是 Linux Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。

    211 引用 • 358 回帖
  • 导航

    各种网址链接、内容导航。

    45 引用 • 177 回帖 • 1 关注
  • 单点登录

    单点登录(Single Sign On)是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

    9 引用 • 25 回帖 • 3 关注