一、该问题的重现步骤是什么?
1.
2.
漏洞等级:中危
漏洞类型:注入漏洞
漏洞描述:SpringBlade框架导出用户路径SQL注入漏洞,攻击者可以通过excel导出用户名和密码等敏感信息。
修复建议: 1.2.禁止访问公共目录
3.
二、你期待的结果是什么?实际看到的又是什么?
三、你正在使用的是什么产品,什么版本?在什么操作系统上?
四、请提供详细的错误堆栈信息,这很重要。
五、若有更多详细信息,请在下面提供。
这个问题的前提是不是要有token才能调用,那就有点类似于家门钥匙交给了别人,东西被拿走后说不安全。
另外密码全部都是加密的,就算拿到也无法登录系统。
再拓展说一下,如果有token就可以获取时候接口来获取数据,那是不是完全“不安全”了,所有返回数据都需要做加密?那这就有点过度了,因为所有的前提都是要先破解密码获取token才能实现。
再厉害的防盗门,给了别人密码和钥匙,也没法防盗了。一个人拿到了别人银行卡和密码去atm取钱也不能说银行系统不安全,这是一样的道理。
所以这个只能算低危,影响不大,后续有时间会优化一下。
扫一扫访问 Blade技术社区 移动端