JeecgBoot icon indicating copy to clipboard operation
JeecgBoot copied to clipboard

Published 20 hours ago verified publisher icon jeecgboot

appscan扫描严重安全漏洞:文件参数 Shell 命令注入

Open sxx412 opened this issue 2 years ago • 4 comments

版本号:V3.4.4
前端版本:vue3版
问题描述:通过appscan扫描,报多个严重安全漏洞:文件参数 Shell 命令注入
截图&代码:

安全漏洞1

友情提示(为了提高issue处理效率):

  • 未按格式要求发帖,会被直接删掉;
  • 描述过于简单或模糊,导致无法处理的,会被直接删掉;
  • 请自己初判问题描述是否清楚,是否方便我们调查处理;
  • 针对问题请说明是Online在线功能(需说明用的主题模板),还是生成的代码功能;

sxx412 avatar Nov 24 '22 01:11 sxx412

这个方法很干净没什么特殊操作,你确定不是误报?

zhangdaiscott avatar Nov 24 '22 01:11 zhangdaiscott

会不会是因为没有过滤url参数中可能包含的敏感字符?因为扫描结果里面,文件参数 Shell 命令注入的问题一共有7,8个地方,我这里只是截了其中一个。另外还有如下几个链接:

  1. http://192.168.1.199:7000/jeecgboot/sys/randomImage/1629428467008(这个和截图一样,也是报_t参数有风险)
  2. http://192.168.1.199:7000/jeecgboot/sys/permission/getUserPermissionByToken(同上)
  3. http://192.168.1.199:7000/jeecgboot/sys/user/getUserInfo(同上)
  4. http://192.168.1.199:7000/jeecgboot/sys/permission/getPermCode(同上)
  5. http://192.168.1.199:7000/jeecgboot/sys/annountCement/listByUser(报pageSize和_t参数有风险)

另,appscan的版本是10.0

sxx412 avatar Nov 24 '22 02:11 sxx412

是不是因为这个时间戳的问题? image

你可以把这行代码注释掉,看看 src\utils\http\axios\helper.ts

改成这样测测 image

zhangdaiscott avatar Nov 24 '22 03:11 zhangdaiscott

嗯,我试试看

sxx412 avatar Nov 24 '22 06:11 sxx412

无回复,关闭

zhangdaiscott avatar Nov 28 '22 08:11 zhangdaiscott