起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

起步软件技术论坛»论坛 开发者论坛 BeX5开发者论坛 跨域资源共享漏洞
12下一页
返回列表 发新帖
查看: 12194|回复: 14

[处理中3] 跨域资源共享漏洞

  [复制链接]

16

主题

39

帖子

193

积分

初级会员

Rank: 2

积分
193
QQ
发表于 2021-9-24 22:25:37 | 显示全部楼层 |阅读模式
问题描述:任何网站都可以发出使用用户凭据发出的请求并读取对这些请求的响应。
漏洞地址:
测试过程:修改Origin参数,查看返回包。
危害程度:[中危]
危害分析:任何网站都可以发出使用用户凭据发出的请求并读取对这些请求的响应,可能导致泄露用户数据、服务端缓存中毒等问题。
修复建议:建议仅允许在 Access-Control-Allow-Origin标头中选择的受信任域。

针对以上问题,希望提供解决办法或者思路。
回复

使用道具 举报

16

主题

39

帖子

193

积分

初级会员

Rank: 2

积分
193
QQ
 楼主| 发表于 2021-9-24 22:29:12 | 显示全部楼层
本帖最后由 kakapc 于 2021-9-25 11:24 编辑

如图:
图片.jpg
图片.jpg
回复

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36067
发表于 2021-9-27 19:39:21 | 显示全部楼层
https://blog.csdn.net/qq_37788558/article/details/76854253
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

74

主题

276

帖子

539

积分

高级会员

Rank: 4

积分
539
QQ
发表于 2021-9-30 11:51:43 | 显示全部楼层
jishuang 发表于 2021-9-27 19:39
https://blog.csdn.net/qq_37788558/article/details/76854253

通过ngnix设置后,请求出现两个Access-Control-Allow-Origin,一个是*,一个是我设置的那个,这种的怎么搞,X5中设置 Access-Control-Allow-Origin 的地方在哪里
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36067
发表于 2021-9-30 17:28:18 | 显示全部楼层
你的跨域调用是在什么地方调用的?
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

74

主题

276

帖子

539

积分

高级会员

Rank: 4

积分
539
QQ
发表于 2021-10-8 09:50:58 | 显示全部楼层
jishuang 发表于 2021-9-30 17:28
你的跨域调用是在什么地方调用的?

现在是检测出来这个漏洞,要修复。漏洞地址:/UI2/v_/portal/pc3/index.w?device=pc
回复 支持 反对

使用道具 举报

74

主题

276

帖子

539

积分

高级会员

Rank: 4

积分
539
QQ
发表于 2021-10-8 16:54:00 | 显示全部楼层
jishuang 发表于 2021-9-30 17:28
你的跨域调用是在什么地方调用的?

这个怎么搞呢,是在jar里面设置的么
回复 支持 反对

使用道具 举报

33

主题

373

帖子

916

积分

高级会员

Rank: 4

积分
916
QQ
发表于 2021-10-11 08:42:25 | 显示全部楼层
学习学习
回复

使用道具 举报

74

主题

276

帖子

539

积分

高级会员

Rank: 4

积分
539
QQ
发表于 2021-10-11 10:22:23 | 显示全部楼层
jishuang 发表于 2021-9-30 17:28
你的跨域调用是在什么地方调用的?

额,这个有解决办法么
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36067
发表于 2021-10-13 10:00:19 | 显示全部楼层
这个应该是跨域调用的时候处理的
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2024-11-24 08:16 , Processed in 0.072151 second(s), 26 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表