论坛首页新手上路 签到
查看: 341|回复: 0

[知识分享] 关于老版本招聘安全扫描漏洞提示获取敏感信息的问题

[复制链接]
wisedu-liujianbo

该用户从未签到

6

主题

6

帖子

18

积分

初来乍到

Rank: 1

积分
18
发表于 2020-12-16 16:40:46 | 显示全部楼层 |阅读模式
本帖最后由 liujianbo 于 2020-12-17 14:12 编辑

     老版本招聘外网中查询填报项数据的时候,用的是表名的动作作为参数到后台查询数据, 通过URL可以显式的知道当前查询的是哪个表名,如果修改zbwid,可以获取其他人的数据,
   这是现场给的检测报告:
1608184564494_B82AB087-B0ED-4f0a-BBEF-DFB029E665C7.png


现在的修改方案是:
不要将表名作为参数传到后台去查询数据,传tbdxwid,在后台查出当前填报项的数据表名,
再去查询数据。干预类干预时要做数据权限过滤,不能查看其他人的数据。
lALPGpqNchqoq7jNApPNBdA_1488_659.png
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

Archiver|手机版|小黑屋|江苏金智教育信息股份有限公司 ( 系统管理员:binmeng@wisedu.com  

GMT+8, 2021-3-3 04:20

Powered by Discuz! X3.2

© 2015 Design: www.wisedu.com

快速回复 返回顶部 返回列表