图片下载或浏览路径未授权访问漏洞及解决方案

Blade 未结

关注举报

 1  21

一、该问题的重现步骤是什么？

未授权访问漏洞是指攻击者无需提供任何凭证（如用户名/密码、Token、Session），或者利用低权限账户，直接访问到本应受到访问控制保护的资源或功能。

1、访问后台中存在下载附件的功能点，点击下载附件

2、通过新开无痕浏览器或清除本地认证信息后访问图片地址

http://127.0.0.1:9000/000000-bladex/upload/20240524/07305dd9bd6171fd924cb87d523b4f0a.jpg

二、你期待的结果是什么？实际看到的又是什么？

针对安全扫描发现的"图片下载或浏览路径未授权访问"中危漏洞，采用 Jackson 序列化器 + 预签名 URL 方案进行修复。在实体字段上标注 `@OssUrl` 注解，API 序列化时自动将对象路径转为带过期时间的预签名 URL，使文件访问凭证临时化。

如下方案评估是否有问题，建议下个版本考虑增加处理

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

1条回答