文件包含bug,不知道改了没有,但是这个bug很致命
文件包含bug。我在决策系统中设置A只能访问A.cpt,对于其他页面无权限。在A.cpt中如果有链接,链接形如:http://xxx:8075/WebReport/ReportServer?reportlet=/lianjie.cpt,
这时候A就具备了访问lianjie.cpt的权限;
同理将lianjie.cpt换成同目录下其他文件地址(如果恶意猜出)如:
http://xxx:8075/WebReport/ReportServer?reportlet=/shuju.cpt
就可以在其他页面浏览或填报。
本来有gif录像,怕透漏太多单位信息,你们可以自己搭建环境试下。
