起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

起步软件技术论坛»论坛 开发者论坛 BeX5开发者论坛 第三方通过url上传参数跳转X5的安全替换方案 ...
12下一页
返回列表 发新帖
查看: 35244|回复: 13

[处理中3] 第三方通过url上传参数跳转X5的安全替换方案

[复制链接]

58

主题

210

帖子

639

积分

高级会员

Rank: 4

积分
639
QQ
发表于 2020-11-19 10:29:27 | 显示全部楼层 |阅读模式
版本: 其它(帖子中说明) 小版本号:
数据库: MS SQLServer 服务器操作系统: Windows 应用服务器: Tomcat
客户端操作系统: Windows 其它 浏览器: Chrome
使用“http://docs.wex5.com/bex5-ui-question-list-10012/”中的第一个方案,第三方通过url上传username和password参数跳转X5首页,近期一次渗透测试认为这种请求方法不安全,请问有什么替换方案吗?




不安全的请求方法.png
回复

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36178
发表于 2020-11-19 11:40:43 | 显示全部楼层
http://docs.wex5.com/bex5-ui-question-list-10258/
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

58

主题

210

帖子

639

积分

高级会员

Rank: 4

积分
639
QQ
 楼主| 发表于 2020-11-19 11:49:01 | 显示全部楼层
jishuang 发表于 2020-11-19 11:40
http://docs.wex5.com/bex5-ui-question-list-10258/

X5修改之后,第三方通过什么方式跳转X5呢?
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36178
发表于 2020-11-19 11:57:26 | 显示全部楼层
访问这个.j进行跳转
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

58

主题

210

帖子

639

积分

高级会员

Rank: 4

积分
639
QQ
 楼主| 发表于 2020-11-19 12:15:32 | 显示全部楼层
本帖最后由 doris 于 2020-11-19 12:19 编辑
jishuang 发表于 2020-11-19 11:57
访问这个.j进行跳转

这个.j文件是替换\model\UI2\system\service\common\src\login.j?第三方访问.j方便提供示例吗?
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36178
发表于 2020-11-19 14:00:26 | 显示全部楼层
不是替换,是自己定义一个.j文件,内容就是链接中放的
第三方可以ajax调用,或者直接浏览器中访问
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

58

主题

210

帖子

639

积分

高级会员

Rank: 4

积分
639
QQ
 楼主| 发表于 2020-11-20 13:17:06 | 显示全部楼层
本帖最后由 doris 于 2020-11-20 13:49 编辑
jishuang 发表于 2020-11-19 14:00
不是替换,是自己定义一个.j文件,内容就是链接中放的
第三方可以ajax调用,或者直接浏览器中访问
...

麻烦提供一个ajax调用模板,特别是success后如何打开X5首页
回复 支持 反对

使用道具 举报

33

主题

373

帖子

916

积分

高级会员

Rank: 4

积分
916
QQ
发表于 2020-11-20 13:44:31 | 显示全部楼层
学习学习
回复

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36178
发表于 2020-11-20 16:14:18 | 显示全部楼层
调用.j参考http://docs.wex5.com/bex5-ui-question-list-10276/
.j中已经做了跳转了
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

58

主题

210

帖子

639

积分

高级会员

Rank: 4

积分
639
QQ
 楼主| 发表于 2020-11-20 18:37:52 | 显示全部楼层
jishuang 发表于 2020-11-20 16:14
调用.j参考http://docs.wex5.com/bex5-ui-question-list-10276/
.j中已经做了跳转了

我这边测试登录X5成功了,但是页面没有跳转。
ajax调用代码如下,.j文件见附件。

                          $.ajax({
                                async: false,
                                type: "POST",
                                dataType: "application/xml",
                                url: "http://192.168.22.8:8082/x5/UI2/system/service/common/SSOLogin.j",
                                data:{
                                        username : '3201A219'
                                },
                                error: function(error, status, errorThrown) {
                                        alert("---失败---");
                               },
                                success: function(result){
                                        alert("---成功---");                                                       
                                }
                        });


SSOLogin.zip

1.28 KB, 下载次数: 429
回复 支持 反对

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2025-6-16 17:43 , Processed in 0.064241 second(s), 29 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表