事情是这样的
学校发现了一个可以帮助学生刷分的广告贴
然后让我们追查之下 发现有用户确实进行了刷分操作
但是 这个系统 是学校内部的系统,评分的 url 都是具有一定权限的教师才能访问的
分析是有一个评分教师 利用另一个无权限账号登陆后,直接访问评分的 url,然后进行评分操作 。
系统并没有在 action 里再次做一个权限校验,因为如果不是拥有权限的教师 肯定不会知道这个 url
疑问 1:这个算是安全漏洞吗?
疑问 2:有什么好的解决方案吗?
我们现在采用一个 action 白名单,在用户登录的时候 查询用户能访问的 action 列表,放到 session 中,在 filter 中进行比对
疑问 3:准备增加一套用户行为记录机制,并记录访问者 ip。这个模型有什么好的建议吗?
校园内部的系统 是收费的 达到一定分数可以获取本科毕业证的!!!
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于