bladex2.4.0web漏洞

chengtian 2024-12-12 10:08

• 

  chengtian (楼主)

  2024-12-13 15:04

  登录这块建议引入bladex最新的功能，用国密加密来实现

  垂直越权建议看bladex4.3.0最新引入了@PreAuth(“hasMenu(‘xx')”)的功能，这样给接口打上注解后就和菜单权限绑定了，就无法通过低权token来垂直越权

  身份凭证不过期可以看下最新版本的saber，退出登录的时候会清空当前的token信息，把功能搬过去就可以了

  能否通提供上述相关代码链接

  
  
  

  作者追问:2024-12-13 15:04

  可以直接在对应工程搜索对应关键词，查看提交内容，然后手动复制更新，

  
  

  国密内容大概如下（可只看选中的部分）

  

  

  

  
  

  垂直越权看这里

  

  

  
  

  退出后清空token看这里

  

  

  
  

  登录失败多次后锁定账号看这里

  https://center.javablade.com/blade/BladeX/src/commit/4e10ec9293cf5b150e309f8717cd14f7b31a7815/blade-auth/src/main/java/org/springblade/auth/service/BladeUserDetailsServiceImpl.java

  
  

  

  

  
  
  0 讨论(0)

  查看其它2个回答
  发布评论:

  提交评论

  ---

  •  加载中...

验证码

 看不清?

提交回复