bladex2.4.0web漏洞

Blade 未结 2 96
chengtian
chengtian 剑圣 2024-12-12 10:08

需要协助处理web漏洞

你正在使用的是什么产品,什么版本?在什么操作系统上?

bladex,2.4.0,centos7



2条回答
  • 2024-12-12 10:23

    联系我们邮箱进行问题修复指导 bladejava@qq.com ,发邮件时请提供授权公司名。

    另外处理之前可以先看下这个安全手册,先跟着手册做一遍:https://center.javablade.com/blade/BladeX-Safety


    0 讨论(0)
  • 2024-12-13 15:04

    登录这块建议引入bladex最新的功能,用国密加密来实现

    垂直越权建议看bladex4.3.0最新引入了@PreAuth(“hasMenu(‘xx')”)的功能,这样给接口打上注解后就和菜单权限绑定了,就无法通过低权token来垂直越权

    身份凭证不过期可以看下最新版本的saber,退出登录的时候会清空当前的token信息,把功能搬过去就可以了

    能否通提供上述相关代码链接



    作者追问:2024-12-13 21:52

    可以直接在对应工程搜索对应关键词,查看提交内容,然后手动复制更新,


    国密内容大概如下(可只看选中的部分)

    CleanShot20241213214506@2x.png

    CleanShot20241213214601@2x.png

    CleanShot20241213214621@2x.png


    垂直越权看这里

    CleanShot20241213214707@2x.png

    CleanShot20241213214726@2x.png


    退出后清空token看这里

    CleanShot20241213214910@2x.png

    CleanShot20241213214954@2x.png


    登录失败多次后锁定账号看这里

    https://center.javablade.com/blade/BladeX/src/commit/4e10ec9293cf5b150e309f8717cd14f7b31a7815/blade-auth/src/main/java/org/springblade/auth/service/BladeUserDetailsServiceImpl.java


    CleanShot20241213215132@2x.png

    CleanShot20241213215146@2x.png


    0 讨论(0)
提交回复