起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 494|回复: 5

[处理中3] 权限绕过

[复制链接]

15

主题

49

帖子

147

积分

初级会员

Rank: 2

积分
147
QQ
发表于 2024-7-1 08:58:18 | 显示全部楼层 |阅读模式
本帖最后由 realcan_zs 于 2024-7-1 08:58 编辑

漏洞类型:权限绕过
漏洞描述:通过测试发现综合业务支撑平台未授权功能存在未授权,可批量获取系统敏感数据信息。
泄露IP地址、用户登录session、登录账号、时间等信息。
HTTP请求路径泄露用户session。
平台版本: BEX5 3.9
处理要求:如何屏蔽该界面,不让访问者直接登录访问。

1719558083861.jpg

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36053
发表于 2024-7-1 09:11:36 | 显示全部楼层
如果不需要访问可以把这个.j文件删除不让访问,或者写filter拦截

如果还让访问发,返回的session不让登录可以参考http://bbs.wex5.com/forum.php?mo ... 8&pid=165671793
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

1013

主题

4368

帖子

1万

积分

论坛元老

Rank: 8Rank: 8

积分
10960
QQ
发表于 2024-7-1 13:51:51 | 显示全部楼层
BusinessServer web.xml添加如下配置
  1.   <servlet>
  2.     <servlet-name>OnlineUsersServlet</servlet-name>
  3.     <servlet-class>com.muyu.servlet.OnlineUsersServlet</servlet-class>
  4.   </servlet>
  5.   <servlet-mapping>
  6.     <servlet-name>OnlineUsersServlet</servlet-name>
  7.     <url-pattern>/onlineUsers</url-pattern>
  8.   </servlet-mapping>
复制代码
孤舟蓑笠翁,独钓寒江雪。
X5牛刀交流民间第一群:30057529
提供有偿服务,联系WX:18332024
bex5疑难问题解决方案
回复 支持 反对

使用道具 举报

15

主题

49

帖子

147

积分

初级会员

Rank: 2

积分
147
QQ
 楼主| 发表于 2024-7-2 09:22:11 | 显示全部楼层
查询在线用户失败了。跟删除了.j文件有关系么?
1719883225984.jpg
回复 支持 反对

使用道具 举报

15

主题

49

帖子

147

积分

初级会员

Rank: 2

积分
147
QQ
 楼主| 发表于 2024-7-2 17:01:22 | 显示全部楼层
ecoolper 发表于 2024-7-1 13:51
BusinessServer web.xml添加如下配置

感谢,可以。
但是有个问题想请教下,我们加上这串代码之后,如果想再加个账号在线控制,就是一个账号控制只允许同时在线一个,再加上这串代码的前提下能够实现么?
回复 支持 反对

使用道具 举报

1013

主题

4368

帖子

1万

积分

论坛元老

Rank: 8Rank: 8

积分
10960
QQ
发表于 2024-7-2 19:44:24 | 显示全部楼层
realcan_zs 发表于 2024-7-2 17:01
感谢,可以。
但是有个问题想请教下,我们加上这串代码之后,如果想再加个账号在线控制,就是一个账号控 ...

试试看
孤舟蓑笠翁,独钓寒江雪。
X5牛刀交流民间第一群:30057529
提供有偿服务,联系WX:18332024
bex5疑难问题解决方案
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2024-10-31 03:56 , Processed in 0.064151 second(s), 28 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表