MeterSphere的一次越权审计

于 2024-09-09 10:55:20 发布
阅读量1k 收藏 18
点赞数 5
分类专栏: 漏洞分享 文章标签: metersphere
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/INSBUG/article/details/142053376
版权

1 MeterSphere简介

MeterSphere是一个一站式开源持续测试平台,它提供了测试跟踪、接口测试、UI测试和性能测试等功能。它全面兼容JMeter、Selenium等主流开源标准,助力开发和测试团队实现自动化测试,加速软件的高质量交付。MeterSphere 的特点包括开源、一站式服务、全生命周期支持、持续测试能力以及团队协作支持。

MeterSphere的技术栈包括后端Spring Boot、前端Vue.js、中间件MySQL和Kafka、基础设施Docker和Kubernetes,以及测试引擎JMeter。

MeterSphere 提供了多租户、多角色的管理模型,用户可根据所在团队的实际情况进行灵活的租户体系映射。

  • 系统:每个独立部署的 MeterSphere 即称为一套系统。
  • 系统级角色:角色的权限范围为整个系统,常见的角色如系统管理员、系统成员,可管理整个系统内的租户、用户及测试资源,同时可变更修改系统级配置参数。
  • 组织:MeterSphere 中的一级租户,可映射为不同的部门或者产品线。
  • 组织级角色:角色的权限范围限定在某个组织当中,常见的角色如组织管理员及组织成员,可在组织中创建项目、发起测试、查看测试报告等。
  • 项目:以项目纬度管理各种类型测试数据,各个项目间数据隔离。
  • 项目级角色:角色的权限范围限定在某个项目当中,常见的角色如项目管理员、项目成员,可在项目中创建、修改、执行测试计划、功能测试用例、接口测试用例、查看测试报告等。
  • 自定义角色:可创建不同所属类型的自定义角色,满足更多样化的团队管理及在线协作。

MeterSphere 的主要功能包括:

  • 测试跟踪:提供测试用例管理、测试计划执行和测试报告自动生成等功能。
  • 接口测试:提供API管理、Mock服务、场景编排和多协议支持。
  • UI测试:基于Selenium实现的浏览器自动化测试,支持低代码自动化测试。
  • 性能测试:兼容JMeter,支持分布式和高并发的性能测试。

MeterSphere的架构图如下:

MeterShpere各组件间的关系如下:

MeterSphere的角色关系图如下:

2 MetaShpere项目结构

GateWay:API 网关项目。

Eureka:服务注册中心。

工作台:MeterSphere 项目的工作台模块。

项目设置:MeterSphere 项目的项目设置模块。

测试跟踪:MeterSphere 项目的测试跟踪模块。

接口测试:MeterSphere 项目的接口测试模块。

UI 测试:MeterSphere 项目的UI 测试模块。

性能测试:MeterSphere 项目的性能测试模块。

系统设置:MeterSphere 项目的系统设置模块。

报告统计:MeterSphere 项目的报告统计模块。

Node Controller:为接口或者性能测试提供独立节点类型的测试资源池。

MySQL:MeterSphere 项目的主要数据均存储在 MySQL。

Redis:MeterSphere 项目登录用户的 Session 和任务队列信息存储在 Redis。

Minio:MeterSphere 项目的分布式对象存储模块。

Kafka:接收 JMeter 产生的接口测试或者性能测试的结果数据。

Prometheus:收集压力机及被测系统的监控数据。

Data Streaming:从 Kafka 中获取接口测试或者性能测试结果数据进行处理后存入 MySQL 数据库。

Docker Engine:为 Node Controller 提供 JMeter 容器运行环境。

Selenium Grid:为 UI自动化测试提供运行环境,支持分布式拓展。

3 越权漏洞分析

在MetaShpere系统的system-setting模块中,定义了多种管理配置功能,例如整个系统的用户、工作管理、用户组与权限等。

其中以下端点返回用户有关的信息,包含团队的workspaceId、id、azureDevopsId、zentaoId等诸多数据,通过Service层的方法getAllUserGroup返回,接收参数为url的路径变量userId,例如/user/group/all/{userId}。

getAllUserGroup方法的逻辑如下:

getAllUserGroup方法接收一个userid作为参数,查询该用户所属的所有用户组,并为每个用户组收集包括组ID、类型和相关资源ID在内的信息。对于工作空间类型和项目类型的用户组,还会额外收集工作空间或项目的信息。最终,方法会返回一个包含所有用户组信息的列表。

对比getAllUserGroup的Controller,editGroupPermission使用了shiro配置权限要求,只有在用户权限满足一定条件时才能访问该端点,而getAllUserGroup未配置任何权限,认证用户都可调用,因此产生了越权漏洞。

4 漏洞修复

查看commit记录,官方已经给getAllUserGroup这个Controller新增了权限配置。

作者:罗晟

2024年9月9日

洞源实验室

洞源实验室
关注
专栏目录
源代码审计思路(下)
武天旭的博客
10-05 3517
前面提到逆向回溯的审计方式针对特征明显的安全漏洞挖掘是非常有效的,但是同样会有很多弊端,通过逆向回溯的方式只能对通用漏洞进行快速审计,不能全面挖掘更有价值的漏洞,如果在时间允许的情况下,企业中安全运营对自身产品进行代码审计,就需要了解整个应用的业务逻辑,比如越权类漏洞,需要了解应用中权限划分,每一级别用户的功能,这样才能很好的发现并确定哪些操作是非法的。
测试工具平台介绍之MeterSphere
热门推荐
rs勿忘初心的博客
11-21 3万+
1.MeterSphere基本介绍 MeterSphere(发音:/ˈmitərˌsfɪər/)是一站式开源持续测试平台,涵盖测试跟踪、接口测试、性能测试、团队协作等功能,兼容JMeter 等开源标准,有效助力开发和测试团队充分利用云弹性进行高度可扩展的自动化测试,加速高质量软件的交付。 先睹为快,官方在线体验如下: 环境地址:MeterSphere 用户名:demo 密码:P@ssw0rd123.. 1.1 MeterSphere的诞生背景 简单来说:数字业务的爆发和DevOps的广泛...
MeterSphere基于JMeter分布式性能压测平台
qq_39286830的博客
04-07 9349
MeterSphere分布式性能压测
Metershere 如何快速上手
最新发布
gr1785的博客
09-04 1039
metershpere 快速入手个人分享
MeterSphere使用多版本浏览器进行UI兼容性测试
qq_33417373的博客
02-22 326
MeterSphere使用多版本浏览器进行UI兼容性测试
操作教程|在MeterSphere中通过SSH登录服务器的两种方法
FIT2CLOUD飞致云的博客
03-28 1425
MeterSphere中借助插件或脚本,简单、快捷地通过SSH登录服务器。
代码审计越权越权
无心的博客
09-28 1181
在一般的测试中,越权是比较简单的一种漏洞,但又是类型比较多的一种,因为他可能存在在各种参数中,它的情况还是比较多的,这里仅仅之说一种,而且这里我写的也仅仅是其中的一种可能情况。 以下所有代码都是我自己写的,可能有不美观,代码错误等等问题,希望大家可以指正。 漏洞讲解 先登陆账户一,查看当前的内容 退出,登陆账户二 两个账户的内容是不一样的 点击编辑,进入编辑页面 此时更改url中的id值,即...
一次渗透测试信息收集-越权
爱玩游戏的黑客的博客
12-18 636
渗透测试信息收集-越权
论文研究-一种Web应用越权漏洞自动化检测实现 .pdf
08-18
这种方法通过深入研究越权漏洞的产生原因,总结了大量的越权漏洞检测实践,从而提出了一种新的检测方法。通过实际测试,开发出的检测工具达到了预期的检测目的。这种自动化检测方法相比传统的人工检测方法,大大的...
emlog CMS的代码审计_越权到后台getshell - 先知社区1
08-03
前言代码审计安装漏洞漏洞文件: install.php首先我们直奔第一个点能否任意重装,我们可以看到必须常量 DEL_INSTALLER 为 1 的时候才会触发
Metershpere需要同时执行接口CASE并行执行
qq_33192454的博客
12-26 141
如果一个接口需要在另一个接口请求时完成操作,即在另一个接口响应前完成请求时,并行执行的情况下。我这里没用metersphere给的代码,自己找的。选择从API定义导入选择想要的API或者CASE。环境和请求报文格式同时生成。
wsl离线安装Linux及Docker教程
m0_72767928的博客
11-29 1772
安装成功后,使用 msctl status 查看后台服务状态,待所有服务运行状态都为 healthy 后,则通过浏览器访问 MeterSphere。使用以下指令修改默认登陆的用户账户为root,其中linux-name为安装的发行的Linux的名称。对于 ARM64 系统:版本 2004 或更高版本,内部版本为 19041 或更高版本。这种方法安装的docker限制较多,可使用方法二,直接在ubuntu中安装docker。安装成功后,使用wsl -l -v可查看是否安装成功,以及安装后对应的wsl版本。
MeterSphere和Jmeter使用总结
qq_42944740的博客
03-17 2551
MeterSphere 是⼀站式开源持续测试平台,涵盖测试跟踪、接⼝测试、UI 测试和性能测试等,全⾯兼容 JMeter、Selenium 等主流开源标准,能够有效助⼒开发和测试团队在线共享协作,实现端到端的测试管理跟踪可视化、⾃动化测试、性能测试及融⼊持续交付 DevOps 体系,并充分利⽤云弹性进⾏⾼度可扩展的⾃动化测试。点击左上角【HTTP】下拉框,可切换接口协议,目前支持 HTTP、TCP 、SQL 和 DUBBO 四种协议。
自行搭建全部开源的:代码管理、缺陷跟踪、项目管理、同步云盘(二)--MeterSphere
BBM的博客
03-03 2993
软件开发者创业三步曲:一是代码管理,二是项目管理及缺陷跟踪,三是同步云盘。
metershpere中实现数据库和网页数据对比
gr1785的博客
09-03 1149
metershpere 通过beanshell脚本实现数据库返回和网页返回的数据对比
MeterSphere使用之接口测试
ponywmm的博客
03-29 4067
使用metersphere进行接口测试,类似于postman的使用效果。比postman更近一步的,是可以保存为用例入库。
metershpere实用操作整理
qq_54192572的博客
11-29 652
metershpere
如何在Linux部署MeterSphere并实现公网访问进行远程测试工作
深入解析C/C++编程技巧,带你探索高效开发之路
04-14 3223
MeterSphere 是一站式开源持续测试平台, 涵盖测试跟踪、接口测试、UI 测试和性能测试等功能,全面兼容 JMeter、Selenium 等主流开源标准,有效助力开发和测试团队充分利用云弹性进行高度可扩展的自动化测试,加速高质量的软件交付,推动中国测试行业整体效率的提升。下面介绍在Linux 中部署MeterSphere 并且结合cpolar 内网穿透实现远程也可以访问MeterSphere 界面!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值