权限绕过

realcan_zs

x5/UI2/v_20211234_nol_zh_CNs_desktopd_pc/system/service/common/queryOnlineUsers.j

漏洞类型：权限绕过

漏洞描述：通过测试发现综合业务支撑平台未授权功能存在未授权，可批量获取系统敏感数据信息。

泄露IP地址、用户登录session、登录账号、时间等信息。

HTTP请求路径泄露用户session。

平台版本： BEX5 3.9

处理要求：如何屏蔽该界面，不让访问者直接登录访问。

jishuang

如果不需要访问可以把这个.j文件删除不让访问，或者写filter拦截

如果还让访问发，返回的session不让登录可以参考http://bbs.wex5.com/forum.php?mo ... 8&pid=165671793

ecoolper

BusinessServer web.xml添加如下配置

1.   <servlet>
   
2.     <servlet-name>OnlineUsersServlet</servlet-name>
   
3.     <servlet-class>com.muyu.servlet.OnlineUsersServlet</servlet-class>
   
4.   </servlet>
   
5.   <servlet-mapping>
   
6.     <servlet-name>OnlineUsersServlet</servlet-name>
   
7.     <url-pattern>/onlineUsers</url-pattern>
   
8.   </servlet-mapping>

复制代码

realcan_zs

查询在线用户失败了。跟删除了.j文件有关系么？

realcan_zs

ecoolper 发表于 2024-7-1 13:51
BusinessServer web.xml添加如下配置

感谢，可以。
但是有个问题想请教下，我们加上这串代码之后，如果想再加个账号在线控制，就是一个账号控制只允许同时在线一个，再加上这串代码的前提下能够实现么？

ecoolper

realcan_zs 发表于 2024-7-2 17:01
感谢，可以。
但是有个问题想请教下，我们加上这串代码之后，如果想再加个账号在线控制，就是一个账号控 ...

试试看