会员系统数据都是访问局域网中的另一个接口项目获取的。由于接口项目没有做任何认证,只要会员系统的请求格式正确,接口项目都可以返回数据,导致系统存在平行越权问题,请问现在应该任何解决
你的那个接口的代码能不能动,可以的话,写一个httphandler做一个前置验证。
http://www.cnblogs.com/stwyhm/archive/2006/08/09/471765.html
你首先要明白漏洞的原因
一个表里有很多记录,字段id记录id,uid用户,text内容
你只查出uid=自己的id,显示给用户,虽然看起来,用户无法知道其它人记录的id,但修改得时候,如果不再做权限检查,那么就会存在漏洞
你必须在执行操作时,执行检查
比如一个功能 根据id修改记录,规则是只能修改自己的,那么你修改的时候,就要首先将id对应记录读出,检查该记录所有者uid是否就是当前登陆用户
如果不是就提示错误.
如果增加一个 后台管理修改,可以修改任何人的记录,
那么这就是一个新功能, 修改时,首先要检查当前登陆用户是否是后台管理员,如果是才允许修改.
所以权限控制都是和业务相关的,不存在通用的方法