接口未授权访问
漏洞描述
安全编码
接口未授权访问(Unauthorized Access),在不进行请求授权的情况下,能够直接对相应的业务逻辑功能进行访问、操作等。通常是由于认证页面存在缺陷或者无认证、安全配置不当等导致的。
【必须】权限校验 对于非公共操作,应当校验当前访问账号进行操作权限和数据权限校验。 确保所有非公共的API接口先经过登录控制器。
运行
漏洞代码
// 对部分接口未做鉴权拦截,导致可未授权访问 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LoginHandlerInterceptor()) .addPathPatterns("/**") .excludePathPatterns("/Unauth/**", "/css/**", "/js/**", "/img/**"); }
运行
安全代码
@Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LoginHandlerInterceptor()) .addPathPatterns("/**") .excludePathPatterns("/css/**", "/js/**", "/img/**"); }