Archery icon indicating copy to clipboard operation
Archery copied to clipboard
verified publisher icon hhyo

A账号可以越权查看B账号的查询权限申请记录

Open JaySem opened this issue 2 years ago • 1 comments

重现步骤

1.管理员未给A账号分配可查询权限申请记录 2.A账号不仅可以看到自己申请的查询权限记录,还可以通过修改域名的方式,越权查看B账号的查询权限申请记录

预期外的结果

可以通过修改域名的方式......queryapplydetail/2/ 越权查看B账号的查询权限申请记录. 数字2可以随便改写

日志文本

No response

版本

1.9.1

部署方式

Docker

是否还有其他可以辅助定位问题的信息?比如数据库版本等

No response

JaySem avatar Sep 28 '23 07:09 JaySem

@JaySem 测试了一下,是有这个问题。

这个时候主键使用顺序的GUID的好处就体现出来了。 让你猜不着,数据还方便合并。

feiazifeiazi avatar Apr 12 '24 10:04 feiazifeiazi