XXL-JOB 越权漏洞分析
漏洞简介XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。 这次介绍的漏洞属于水平越权漏洞,简单来说就是,一个没有任何任务管理权限的用户,只要登录了系统后,就能构造请求来操作其他人的任务。
受影响的接口包括:
https://www.yijinglab.com/headImg.action?news=4c6ea7ab-4c47-4ee7-8cba-06a21dbc60aa.jpg
XXL-JOB 的权限控制分两层:
[*]全局拦截器:通过 PermissionInterceptor 检查用户是否登录
[*]方法级注解:通过 @PermissionLimit 注解控制是否需要管理员权限
问题出现于:在接口处既没有加 @PermissionLimit 注解要求管理员权限,方法内部也没有校验用户对具体任务的操作权限。
漏洞验证&分析
管理员登录后台并创建一个无任何权限的普通用户
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/07a81d59-8e04-4e6b-917a-be1cb4a39c88.png
根据日志id 越权停止启动进程 logKill
根据 https://developer.aliyun.com/article/1649153?spm=a2c6h.24874632.expert-profile.57.1c5939ad7RZU4e 创建一个 XXL-JOB 执行器,属于正常业务功能
为了方便展示效果我们配置一个 jobTest1Handler
@XxlJob("jobTest1Handler") public void jobTest1Handler() { try { System.out.println("jobTest1Handler 开始执行 - " + new Date()); for (int i = 1; i ></strong></p>
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! 不错,里面软件多更新就更好了 不错,里面软件多更新就更好了 感谢分享 分享、互助 让互联网精神温暖你我 前排留名,哈哈哈 感谢分享,下载保存了,貌似很强大 新版吗?好像是停更了吧。 喜欢鼓捣这些软件,现在用得少,谢谢分享!
页:
[1]