关注JEECG发展历程 关注最新动态和版本, 记录JEECG成长点滴 更新日志 - 技术支持 - 招聘英才

JEECG最新版本下载 JEECG智能开发平台 - 显著提高开发效率 常见问题 - 入门视频 - 参与开源团队

商务QQ: 69893005、418799587 商务热线(5*8小时): 010-64808099 官方邮箱: jeecgos@163.com

查看: 16960|回复: 6

[系统权限] 一个巨大的权限漏洞bug问题

[复制链接]
发表于 2018-10-16 16:52:45 | 显示全部楼层 |阅读模式
本帖最后由 jacktanmo 于 2018-10-16 17:00 编辑

http://localhost:8080/jeecg/tSSmsController.do?tSSms-----这个访问不到
http://localhost:8080/jeecg//tSSmsController.do?tSSms-----在jeecg后面加两个'//' 啥功能权限都能访问。这是很大的问题啊。
 楼主| 发表于 2018-10-17 16:42:30 | 显示全部楼层
你应该没明白我的意思, 就是设置一个人权限的时候,我给这个人设置没有这个模块的功能,然后我用这个人登录,是看不到这个模块的,但如果我知道这个模块的xxx.do?xxx  这种直接访问的地址的话,  那我就http://localhost:8080/jeecg/xxx.do?xxx 是访问不到,因为没权限, 但如果//xxx.do?xxx 。  在jeecg后面加两个/,那就可以打开了。http://localhost:8080/jeecg/、xxx.do?xxx 。 现在明白我意思了吧
发表于 2018-10-16 17:00:28 | 显示全部楼层
什么意思? 发问题请详细描述清楚
 楼主| 发表于 2018-10-16 21:48:23 | 显示全部楼层
本来这个人没有插件模块---我的邮箱  这个权限功能的。 但我多加了一个/就能打开这个页面。http://localhost:8080/jeecg//mail/p3MailJformInnerMail.do?toSendMail
发表于 2018-10-17 09:17:54 | 显示全部楼层
邮箱插件默认有,jar方式提供
发表于 2018-10-18 10:53:59 | 显示全部楼层
貌似你说的这种项目名后面加两个//的是可以在没有分配权限的情况下进行访问的,但是普通用户也不可能知道你的访问路径是多少啊,这个不是只有管理员可以看到菜单的访问路径吗?
 楼主| 发表于 2018-10-19 16:55:55 | 显示全部楼层
tianshan 发表于 2018-10-18 10:53
貌似你说的这种项目名后面加两个//的是可以在没有分配权限的情况下进行访问的,但是普通用户也不可能知道你 ...

但是危害很大啊。很大的漏洞啊。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表