记录一次hack
JEECG是一个Java Web的快速开发平台,我很好奇到底多少人在项目中使用它,于是就用搜索引擎搜索“loginController.do?login”,因为这是JEECG的默认登录入口,结果就找到了非常多的网站,大多是企业的后台管理系统,很少用来做互联网平台的。使用JEECG的公司也是非常有名的,有食品行业的巨头,还有政府单位,应该都是外包公司帮他们做的。
于是我们就想到,如果JEECG有漏洞,不就可以同时进入这些网站了?但是一个登录入口并没有什么问题,我知道的一个漏洞就是以任意角色用户登录之后,可以提升权限。我就每一个打开看看,直到发现了一两个允许用户注册的。然后就使用接码平台,接收短信验证码注册登录了,试了一下那个漏洞果然有效。我也没做什么就是随便看看就退出了,这个漏洞也不是我发现的,JEECG的漏洞在他们论坛上有人提交了好久了,也没人修复。JEECG的开源代码是不接收pull-request的,看了很多人发的PR都没人理,还是喜欢内部成员私下交流,所以这样的Bug还会一直存在。
这件事就告诉我们要重视用户注册带来的安全问题,一些XSS攻击都是因为用户可以任意注册、留言导致的,我们的一些企业应用可以把注册功能去掉,只允许管理员添加账户。
diao~