WSS 代码执行的权限提升

最新推荐文章于 2023-09-20 09:24:49 发布
最新推荐文章于 2023-09-20 09:24:49 发布
阅读量1.4k 收藏
点赞数
分类专栏: 网页程序技巧 软件开发 微软产品线 ASP .NET 安全 文章标签: string user web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiboy/article/details/2477113
版权

WSS 代码执行的权限提升

概述:

WSS 默认使用身份模拟执行代码,也就是说用当前登录的用户身份执行Web Part或者自定义应用程序的代码访问。在大多数情况下,这种机制能够准确并严格地控制了标准权限的用户他对特定网站资源和敏感数据的访问,这也是我们想要达到的目标。

然而,有时候在一些特殊的场景,你的代码必须执行wss 对象某些受限制的方法,即便请求者是没有这个权限的用户。那么在这种情况下,我们需要提升普通用户执行代码的权限。

实现方法:

SPSecurity.RunWithElevatedPrivileges(delegate()

{

    // 需要提升权限执行的代码

});

事例:

获取网站集owner 的 名称 SPSite.Owner.Name

默认是需要网站集管理员权限的用户才能得到,如果没有执行代码权限提升,以一个普通用户去执行SPSite.Owner.Name,系统会报一个”拒绝访问”的错误。

然而执行了如下代码,我们普通权限的用户,也可以成功得访问到SPSite.Owner.Name

SPSite siteColl = SPContext.Current.Site;

SPWeb site = SPContext.Current.Web;

SPSecurity.RunWithElevatedPrivileges(delegate() {

using (SPSite ElevatedsiteColl = new SPSite(siteColl.ID)) {

using (SPWeb ElevatedSite = ElevatedsiteColl.OpenWeb(site.ID))

{

        //以SHAREPOINT"System account 系统帐号身份运行

      string SiteCollectionOwner = ElevatedsiteColl.Owner.Name;    

    }

 }

});

注意:

在使用SPSecurity.RunWithElevatedPrivileges权限提升的代码里头,必须实例化SPSite,SPWeb对象,而不能使用Microsoft.SharePoint.SPContext.Current属性获得对象,因为那些对象是以当前用户的安全上下文创建的

请使用using方式实例化对象,以便系统能自动执行Dispose,完成资源释放。

上面谈到的这种方式是以最高完全权限的系统管理员帐户去执行代码的,当然我们也可以指定运行代码的帐号:

SPSite siteColl = SPContext.Current.Site;

SPWeb site = SPContext.Current.Web;

SPUser user = site.Users[@"litware/ken"];

SPUserToken userToken = user.UserToken;

 

SPSecurity.RunWithElevatedPrivileges(delegate() {

using (SPSite ElevatedsiteColl = new SPSite(siteColl.ID, userToken)) {

using (SPWeb ElevatedSite = ElevatedsiteColl.OpenWeb(site.ID))

{        //以litware"ken身份运行
      string SiteCollectionOwner = ElevatedsiteColl.Owner.Name;    

    }

 }

});

这种方式的话,代码就以litware"ken 的权限来运行,不管ken 的权限是高还是低。

iiboy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言-抢单WS协议
06-26
抢单WS协议源码
H5游戏(一)登录某某首富H5游戏之WebSockets初涉 易语言wss
闷骚小贱男
04-29 4160
前景 H5游戏可跨平台(PC、平板、手机、电视机等都可运行) 实际上他就是一个网页。。所以能打开网页的地方就可能能打开H5游戏(当然了,还有APP嵌套SDK+网页实现的那种) 几年前的农场**,不知道大家用过没有,那种只有一个界面就可以实现自动帮你玩游戏的软件,简直是一款神器。 所以我也想着针对这一款H5游戏,弄一款不用看游戏界面就可以自动帮你玩的小软件。 【备注:图中因为要调试很多信息,所以用到了F12中本地替换JS文件的做法,来打印各种信息等】 开始分析 从wss连接找到切入点 打开网页,登录帐号,打开
小肩膀易语言TCP&IP协议(直播人气协议)
最新发布
inhsoft的博客
09-20 406
小肩膀易语言TCP&IP协议(直播人气协议)第9课.ITCPAgent组件。小肩膀易语言TCP&IP协议(直播人气协议)第8课.TCP与HTTP。小肩膀易语言TCP&IP协议(直播人气协议)第18课. TCP代理。小肩膀易语言TCP&IP协议(直播人气协议)第5课.TCP四次挥手。小肩膀易语言TCP&IP协议(直播人气协议)第4课.TCP三次握手。小肩膀易语言TCP&IP协议(直播人气协议)第3课.什么是TCP。小肩膀易语言TCP&IP协议(直播人气协议)第25课. 一直播。
websocket客户Duan,支持wss/ws协yi-易语言
06-13
在论坛找了半天的 易语言 版本 websocket的模块支持,都没找到好用的,自己撸了一个websocket模块 支持wss和ws链接 然后写了了调用案例 代码案例分享给大家
易语言-WebSocket模块+例程
06-25
最大支持6万条连接。底层是HP - socket,支持ws/wss。内部有自动的心跳(服务器发送ping,客户端自动回复pong)。 1、把HPSocket4C.dll文件放在:C:\Program Files (x86),目录下。然后就可以使用了。 2、如果要修改HPSocket4C.dll文件位置,修改HP_Socket这个源码就行了。
JAVA上百实例源码以及开源项目源代码
09-17
 Java局域网通信——飞鸽传书源代码,大家都知道VB版、VC版还有Delphi版的飞鸽传书软件,但是Java版的确实不多,因此这个Java文件传输实例不可错过,Java网络编程技能的提升很有帮助。 Java聊天程序,包括服务端和...
JAVA上百实例源码以及开源项目
01-03
 Java局域网通信——飞鸽传书源代码,大家都知道VB版、VC版还有Delphi版的飞鸽传书软件,但是Java版的确实不多,因此这个Java文件传输实例不可错过,Java网络编程技能的提升很有帮助。 Java聊天程序,包括服务端和...
java开源包8
06-28
Tomcat Native 这个项目可以让 Tomcat 使用 Apache 的 apr 包来处理包括文件和网络IO操作,以提升性能。 预输入搜索 Cleo Cleo 是一个灵活的软件库用于处理一些预输入和自动完成的搜索功能,该项目是 LinkedIn 公司...
java开源包10
06-28
Tomcat Native 这个项目可以让 Tomcat 使用 Apache 的 apr 包来处理包括文件和网络IO操作,以提升性能。 预输入搜索 Cleo Cleo 是一个灵活的软件库用于处理一些预输入和自动完成的搜索功能,该项目是 LinkedIn 公司...
前端websocket劫持漏洞(CSWSH)
god_Zeo的安全博客
01-28 2251
其实简单的将,这个很类与websocket版本的CSRF,同样的需要没有CSRF的token,然后利用这一点,发送一下敏感的请求,做一些敏感操作。
易语言-六间房直播WSS包解密,加密
06-25
六间房直播WSS包解密,加密源码
易语言-websocket易语言源码和例子
06-25
websocket易语言源码和例子 1)对 AnsiToUtf8 函数添加截除最后 两个字节{0,0}功能,可以正确调试JOSN。 2)对 client_检查握手信息 当 get.status ="" 的时候不做检测 当 get.Connection 包含 upgrade 的时候 检测通过 2)对 server_创建握手包信息 当 get.Connection 包含 upgrade 的时候 检测通过
易语言websocket + WS+WSS+(WebSocket)+多线程并发稳定模块
04-21
易语言websocket模块,多线程并发稳定模块,实测稳定,保证可用
易语言WebSocket服务源吗
08-13
易语言WebSocket服务源码,上图左图为WEB页面,打开WEB页面前需要先运行易语言服务端,要修改连接地址直接编辑htm文件的IP地址即可,服务端的接收信息会在调试窗口输出。.rar
WebSocket 通讯源码2.1
06-25
提供客户端WebSocket通讯源码,可发送文字,图片,附件,表情。代码包含服务端工具。 测试地址为:http://www.quickdove.com/websocket_test/index.htm
记录一次迁移 wss WebSocket 的事故
热门推荐
happyJared
04-22 1万+
  今天是2018年04月21日。   过去的这一个多月里,我的工(开)作(发)任务转战回了游戏。短短的一个月里,催着输出两款h5游戏,再加上对接、联调,想想真是够辛(ku)苦(bi)的。本人负责后端,也就是服务端这块的游戏主流程输出。去年下半年,在前任大佬的带领下,做过一两款棋牌类的手游,虽然目前的运营状况不太乐观。不过好在,过去学的那点皮毛也还没丢光,所以这次写h5后端总体还算顺畅。至于怎么...
(十四)WebSockets安全漏洞
weixin_43047908的博客
04-18 1314
文章目录什么是WebSocket?WebSockets漏洞发现处理WebSocket消息以利用漏洞操纵WebSocket握手连接以利用漏洞使用跨站点WebSocket利用漏洞如何保护WebSocket连接 什么是WebSocket? WebSockets是通过HTTP发起的双向全双工通信协议。它们通常用于现代Web应用程序中以流式传输数据和其他异步流量。 Web浏览器和网站之间的大多数通信都使用HTTP。使用HTTP,客户端发送请求,服务器返回响应。通常,响应立即发生,并且事务完成。即使网络连接保持打开状态
tiktok海外版某音,分析协议构造,我们浅谈一下
任雪飘的博客
07-15 2180
浅谈一下tiktok协议,分析就是为了更好的成长
<漏洞预警>Windows Search远程代码执行漏洞和LNK文件远程代码执行漏洞
blackorbird的博客
06-14 771
有传言称今天这波windows补丁是补了影子经纪人要爆的漏洞今天爆出两个远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞(可用s...
怎么通过java代码在服务器端websocket使用WSS 协议
06-11
在 Java 中使用 WSS 协议与使用 WS 协议的代码基本相同,只需要在 WebSocket URI 中将 `ws` 替换为 `wss`,并且使用 SSLContext 来配置 SSL/TLS 加密。下面是一个简单的 WSS 协议的 WebSocket 服务器示例: ```java import java.net.InetSocketAddress; import java.security.KeyStore; import javax.net.ssl.KeyManagerFactory; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManagerFactory; import com.sun.net.httpserver.HttpContext; import com.sun.net.httpserver.HttpsConfigurator; import com.sun.net.httpserver.HttpsServer; import com.sun.net.httpserver.HttpsParameters; import com.sun.net.httpserver.HttpsServerProvider; import com.sun.net.httpserver.spi.HttpServerProvider; import org.java_websocket.server.DefaultSSLWebSocketServerFactory; import org.java_websocket.server.WebSocketServer; public class WssWebSocketServer extends WebSocketServer { public WssWebSocketServer(InetSocketAddress address) { super(address); } @Override public void onOpen(WebSocket conn, ClientHandshake handshake) { // 处理 WebSocket 连接建立事件 } @Override public void onClose(WebSocket conn, int code, String reason, boolean remote) { // 处理 WebSocket 连接关闭事件 } @Override public void onMessage(WebSocket conn, String message) { // 处理 WebSocket 收到消息事件 } @Override public void onError(WebSocket conn, Exception ex) { // 处理 WebSocket 错误事件 } public static void main(String[] args) { try { // 加载证书和密钥 char[] password = "password".toCharArray(); KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(WssWebSocketServer.class.getResourceAsStream("/keystore.jks"), password); KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); keyManagerFactory.init(keyStore, password); TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init(keyStore); // 配置 SSLContext SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null); // 创建 WSS 协议的 WebSocket 服务器 InetSocketAddress address = new InetSocketAddress("localhost", 8080); WssWebSocketServer server = new WssWebSocketServer(address); // 配置 SSL/TLS 加密 server.setWebSocketFactory(new DefaultSSLWebSocketServerFactory(sslContext)); // 启动 WebSocket 服务器 server.start(); } catch (Exception ex) { ex.printStackTrace(); } } } ``` 在这个示例中,我们使用 `org.java_websocket` 库来实现 WebSocket 服务器,使用 `com.sun.net.httpserver` 库来创建 HttpsServer。在 `main` 方法中,我们首先加载证书和密钥,然后配置 SSLContext。接着,我们创建了一个 WSS 协议的 WebSocket 服务器,并使用 `DefaultSSLWebSocketServerFactory` 类将 SSLContext 配置到 WebSocketFactory 中。最后,我们启动了 WebSocket 服务器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值