发表新帖
发表新帖

被扫出安全漏洞——使用默认密钥可伪造凭据

Blade 已结
关注 举报
1 228
CaptainTeemoOnD
CaptainTeemoOnD 剑童 2024-09-25 10:08

一、该问题的重现步骤是什么?

1. 在请求包带上默认密钥:

2.image.png

3. 访问接口/api/blade-user/user-list ,可以获取到管理员的账号和密码。

4. 同理使用默认的密钥,访问接口/api/blade-log/api/list ,可以获取用户的登录请求参数内容

5. 在上面获取的参数,在用户输入的密码正确的情况下,在登录时抓包替换参数,可以实现登录后台


二、你期待的结果是什么?实际看到的又是什么?

想请教下如何处理?

三、你正在使用的是什么产品,什么版本?在什么操作系统上?

版本:bladex 2.8.2

系统:windows 10

四、请提供详细的错误堆栈信息,这很重要。

五、若有更多详细信息,请在下面提供。

1条回答
  • admin
    admin (最佳回答者)
    2024-09-25 10:09

    https://sns.bladex.cn/article-15011.html


    作者追问:2024-09-25 10:09

    您好,在此之前,曾配置过“1. 令牌签名配置”,但是还是被扫出来了:

    image.png

    想请问这次是否需要配置“5. 数据权限安全”才能解决?

    image.png


    回答: 2024-09-25 10:09

    配置完之后你用文档里的默认token调用接口看看,如果不能调用了就说明配置好了的。如果还能调用就说明没配置好。

    如果配置好了还被扫出漏洞,那说明这家安全公司水平不咋地只会用工具不会人工验证。

    0 讨论(1)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
新建租户问题 1
nacos 服务注册不上 1
bladeX登录异常,blade社区登录正常 2
富文本编译器上传图片 axios startsWith undefined 1
将最新版本v4.2.0.release 中的spring降级..能否兼容 jdk1.8? 1
jar包导不出来 1
如果升级的话 Saber 前端变化需要注意哪些? 1
新版的Saber 前端代码是不是不全? 2
endpoint的使用 1
关于Bladex中流程使用问题 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号