记录一次hack

JEECG是一个Java Web的快速开发平台，我很好奇到底多少人在项目中使用它，于是就用搜索引擎搜索“loginController.do?login”，因为这是JEECG的默认登录入口，结果就找到了非常多的网站，大多是企业的后台管理系统，很少用来做互联网平台的。使用JEECG的公司也是非常有名的，有食品行业的巨头，还有政府单位，应该都是外包公司帮他们做的。 于是我们就想到，如果JEECG有漏洞，不就可以同时进入这些网站了？但是一个登录入口并没有什么问题，我知道的一个漏洞就是以任意角色用户登录之后，可以提升权限。我就每一个打开看看，直到发现了一两个允许用户注册的。然后就使用接码平台，接收短信验证码注册登录了，试了一下那个漏洞果然有效。我也没做什么就是随便看看就退出了，这个漏洞也不是我发现的，JEECG的漏洞在他们论坛上有人提交了好久了，也没人修复。JEECG的开源代码是不接收pull-request的，看了很多人发的PR都没人理，还是喜欢内部成员私下交流，所以这样的Bug还会一直存在。 这件事就告诉我们要重视用户注册带来的安全问题，一些XSS攻击都是因为用户可以任意注册、留言导致的，我们的一些企业应用可以把注册功能去掉，只允许管理员添加账户。