前端敏感信息泄露?

2019-11-05 11:07:38 +08:00
 Graves
项目很旧了,2014 年的代码,没有前后分离,后端是 status2+jsp,没有 spring
因为是政府项目,所以公司找了第三方信息安全公司,做了渗透测试
现在有一个很头疼的问题,假如有一个用户列表,列表里面有个详细按钮,按钮下面是用户的 id,点击就查询出用户的详细信息,现在第三方信息安全公司改了这个用户 id,就可以获取到其他用户的信息
这个问题是可以在后端校验,但是代码太旧了,想问问还有其他办法吗
3095 次点击
所在节点    问与答
26 条回复
iyiluo
2019-11-05 17:22:54 +08:00
别搞自欺欺人的骚操作了,有安全问题就老老实实修,即使应付过了安全扫描,指不定系统哪天就被安全通报
Graves
2019-11-05 18:23:59 +08:00
@nnnToTnnn 感谢回复,办法是可以,但是渗透的人水平还是很高,会上传文件绕过获取系统 shell

@wccc struts 已升级的,也是在安全审查中要求整改

@iyiluo 万般无奈,这东西工作量不大的我清楚,主要是真的改不动代码,接手的时候什么文档也没有,数据库字段没注释,表也只能猜猜干嘛用,改一下到线上就出问题
Graves
2019-11-05 18:25:01 +08:00
挺自闭的,以前就听别人说祖传代码多恐怖,现在终于见识了
wangxiaoaer
2019-11-05 18:40:04 +08:00
暂时用 hashid 这个库把 ID 转成字符(查的时候再逆回来)这个库支持转的时候加盐,你可以每个用户用一个单独的盐放到 session 中。
beastk
2019-11-06 08:13:17 +08:00
改代码检验 id 吧,最快的方法了
nnnToTnnn
2019-11-06 08:50:53 +08:00
@Graves 至于上传文件获取系统的 shell,这个限制一下文件类型就行了,在文件解析器里面。 只限制白名单。

你让他把渗透测试的报告给你一份,然后你按照报告上修改然后测试就行了,一般国内的渗透测试一般都是黑盒测试,拿着软件跑一跑,出一份报告,然后收钱。

你估计爆出来的都是很明显有特征的漏洞,比如敏感的 id 或者 password 等等字段。


只要不是百盒测试,基本上改改特征,工具就扫不出来了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/616373

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX