发表新帖
发表新帖

网监反馈安全问题-log user

Blade 未结
关注 举报
1 237
six_six_2005
six_six_2005 剑圣 2024-12-20 18:44

一、该问题的重现步骤是什么?

通报了2个截图:

a62c2fa76d7f91eb68b28502edefe76c.png52d91b892d0193ea38b39c5212398a72.png

排查:/api/blade-log/api/list

545e13f60805429cc9a0cd2f77acc2fe.png


二、你期待的结果是什么?实际看到的又是什么?


实际就是用管理员帐户登录的,肯定是能看到的。那问一下以上2个接口返回的password和tenantId租户字段 ,我们能不能去掉?会不会有影响引起多处报错? 


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

bladex boot     2.9.1.RELEASE

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
  • admin - BladeX作者
    2024-12-20 18:47

    不影响,返回的params字段你们可以直接不序列化。但是呢既然已经是管理员登录了,看到这些数据不是正常的么,如果管理员账号都泄露了,系统还有哪里是安全的,还有哪里不能操作,还有什么数据不能看?

    这个接口只要不对外泄露sign-key,是不可能被看到数据的。但他们既然提出来了,就把这个字段返回过滤掉吧,不影响系统运行的。

    0 讨论(0)
代码语言
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 大模型开发平台 BladeX 物联网开发平台
热议问题
加了数据权限(@DataAuth)后会变成嵌套查询导致sql分页失效 1
需要修改saber前端页面样式以及添加图标 1
子租户管理员登录后看到了000000租户的机构和用户信息,请问这是系统设定吗? 1
API报文加密,返回前端数据未使用全局ObjectMapper处理导致数据精度丢失 1
大模型平台对话流程编排怎么实现 1
mqtt调试支持mqtt协议 2
mqtt客户端报错 2
设备模拟器未开启成功 1
device-simulator启动显示离线状态 2
关于多租户分库分表拆问题 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2025 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号