文件包含bug,不知道改了没有,但是这个bug很致命

楼主
我是社区第55758位番薯,欢迎点我头像关注我哦~
文件包含bug。我在决策系统中设置A只能访问A.cpt,对于其他页面无权限。在A.cpt中如果有链接,链接形如:http://xxx:8075/WebReport/ReportServer?reportlet=/lianjie.cpt,
这时候A就具备了访问lianjie.cpt的权限;
同理将lianjie.cpt换成同目录下其他文件地址(如果恶意猜出)如:
http://xxx:8075/WebReport/ReportServer?reportlet=/shuju.cpt
就可以在其他页面浏览或填报。


本来有gif录像,怕透漏太多单位信息,你们可以自己搭建环境试下。
分享扩散:

沙发
发表于 2018-8-2 10:45:43
您好,系统显示您是跟进/合作客户,可以直接联系技术支持QQ:800049425进行反馈(将本帖链接发给技术支持)。
建议您点击标题下面的关注本帖—最新回复,可以第一时间收到帖子回复提醒以及更多精彩内容,谢谢!

如果您提交的bug有了处理结果欢迎回复此帖说明并@管理员兔子酱,可以获得奖励100F豆。
板凳
发表于 2018-8-2 15:29:39
问题已处理,配合权限管理,开启角色权限控制,可以防止这种情况。

这个问题出出在配置不当,造成人为漏洞。
参与人数 +1 F豆 +100 理由
兔子酱 + 100 太棒了,感谢反馈~给你32个赞

查看全部评分

地板
发表于 2019-1-14 10:17:18
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

返回顶部 返回列表