2 yy228313 yy228313 于 2016.01.21 03:56 提问

系统存在平行越权问题如何解决。 5C

会员系统数据都是访问局域网中的另一个接口项目获取的。由于接口项目没有做任何认证,只要会员系统的请求格式正确,接口项目都可以返回数据,导致系统存在平行越权问题,请问现在应该任何解决

2个回答

caozhy
caozhy   Ds   Rxr 2016.01.21 04:48

你的那个接口的代码能不能动,可以的话,写一个httphandler做一个前置验证。
http://www.cnblogs.com/stwyhm/archive/2006/08/09/471765.html

yy228313
yy228313 接口项目的handler怎样写才可以避免平行越权
接近 2 年之前 回复
qq_16414307
qq_16414307   2016.01.21 14:38

你首先要明白漏洞的原因

一个表里有很多记录,字段id记录id,uid用户,text内容
你只查出uid=自己的id,显示给用户,虽然看起来,用户无法知道其它人记录的id,但修改得时候,如果不再做权限检查,那么就会存在漏洞

你必须在执行操作时,执行检查
比如一个功能 根据id修改记录,规则是只能修改自己的,那么你修改的时候,就要首先将id对应记录读出,检查该记录所有者uid是否就是当前登陆用户
如果不是就提示错误.

如果增加一个 后台管理修改,可以修改任何人的记录,
那么这就是一个新功能, 修改时,首先要检查当前登陆用户是否是后台管理员,如果是才允许修改.

所以权限控制都是和业务相关的,不存在通用的方法

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!