网安漏洞知识系列:spring boot未授权访问及Swagger漏洞处理
spring boot未授权访问及Swagger漏洞处理
spring boot未授权访问及Swagger漏洞处理
无需修改源码,处理spring boot未授权访问及Swagger漏洞处理
漏洞说明
spring boot未授权访问
风险程度:【高危】
漏洞概述:
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。登陆验证一般的方式都是将用户在登录口输入的账号密码拿去与数据库中的记录做验证,并且要求输入的账号密码要等于数据库中某条记录的账号密码,验证通过则程序就会给用户一个session,然后进入后台,否则就返回到登陆口。然而攻击者可以找到一些缺乏权限验证的URL,直接绕过登录执行数据库查询,构成未授权访问。
漏洞危害:
攻击者可绕过登录验证非法访问资源,如后台功能、敏感文件等。
整改建议:
建议增加漏洞页面(接口)的访问认证,防止未授权访问直接浏览访问或调用。
涉及的请求地址包括但不限于:
