一、该问题的重现步骤是什么?
甲方漏扫出来的问题
2.
3.
二、你期待的结果是什么?实际看到的又是什么?
期待看到的是:没被放行的接口不被扫描出来。
实际看到的是:有个别没被放行的接口被扫出来了。
为什么有的通一个类的接口,只有一个接口被扫出来,其他接口却没有扫出来,还都是原平台自带的接口,没有经过任何改动的接口。
三、你正在使用的是什么产品,什么版本?在什么操作系统上?
产品:blade-boot
版本:2.8.2
操作系统:Ubuntu server20.04
四、请提供详细的错误堆栈信息,这很重要。
五、若有更多详细信息,请在下面提供。
https://sns.bladex.cn/article-15011.html
老师,我这个是商业授权的,但是我没有账号密码,您能具体说一下是哪一部分的漏洞吗?
商业账号可以问同事要一下,没有的话看开源版一样的:https://www.kancloud.cn/smallchill/blade-safety/3234104
主要就是第一个,sign-key要配置,配置后,他们就无法伪造然后访问。
扫一扫访问 Blade技术社区 移动端