RBAC管理系统代码审计

已于 2024-09-03 19:19:55 修改
阅读量300 收藏 7
点赞数 9
分类专栏: 代码审计 文章标签: php 开发语言 sql 数据库 代码审计
于 2024-09-02 21:53:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52579508/article/details/141846092
版权

基于SpringBoot+SpringSecurity的RBAC管理系统
项目地址:
GitHub - witmy/my-springsecurity-plus: ☕基于SpringBoot+SpringSecurity的RBAC管理系统,易读易懂🔥
c349c40566d8102c462bfecc19a745a9.png

组件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.3.1.RELEASE</version>
    <relativePath/> <!-- lookup parent from repository -->
  </parent>
  <groupId>com.codermy</groupId>
  <artifactId>my-springsecurity-plus</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <name>my-springsecurity-plus</name>
  <description>my-springsecurity-plus-admin</description>

  <properties>
    <java.version>1.8</java.version>
  </properties>

  <dependencies>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-data-redis</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-actuator</artifactId>
    </dependency>
    <dependency>
      <groupId>com.alibaba</groupId>
      <artifactId>fastjson</artifactId>
      <version>1.2.56</version>
    </dependency>
    <dependency>
      <groupId>org.thymeleaf.extras</groupId>
      <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
      <groupId>org.mybatis.spring.boot</groupId>
      <artifactId>mybatis-spring-boot-starter</artifactId>
      <version>2.1.2</version>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-devtools</artifactId>
      <scope>runtime</scope>
      <optional>true</optional>
    </dependency>
    <!--swagger-->
    <dependency>
      <groupId>io.springfox</groupId>
      <artifactId>springfox-swagger2</artifactId>
      <version>2.9.2</version>
    </dependency>
    <!--swagger ui-->
    <dependency>
      <groupId>io.springfox</groupId>
      <artifactId>springfox-swagger-ui</artifactId>
      <version>2.9.2</version>
    </dependency>
    <!--druid连接池-->
    <dependency>
      <groupId>com.alibaba</groupId>
      <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.21</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <!-- lombok-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <!-- 验证码-->
        <dependency>
            <groupId>com.github.whvcse</groupId>
            <artifactId>easy-captcha</artifactId>
            <version>1.6.2</version>
        </dependency>
        <!--jjwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <!--aop-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <!--   UserAgentUtils   -->
        <dependency>
            <groupId>eu.bitwalker</groupId>
            <artifactId>UserAgentUtils</artifactId>
            <version>1.21</version>
        </dependency>
        <!--热部署-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <optional>true</optional>
        </dependency>
        <!-- 获取系统信息 -->
        <dependency>
            <groupId>com.github.oshi</groupId>
            <artifactId>oshi-core</artifactId>
            <version>4.4.2</version>
        </dependency>

        <!--ip2region,这是根据ip查地址的工具,有兴趣自己可以了解-->
        <!-- <dependency>-->
        <!-- <groupId>org.lionsoul</groupId>-->
        <!-- <artifactId>ip2region</artifactId>-->
        <!-- <version>1.7.2</version>-->
        <!-- </dependency>-->
        <dependency>
            <groupId>com.github.pagehelper</groupId>
            <artifactId>pagehelper-spring-boot-starter</artifactId>
            <version>1.2.13</version>
        </dependency>
        <!--hutool工具-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.1.4</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>5.2.7.RELEASE</version>
            <scope>compile</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

常见的漏洞组件

<dependency>
      <groupId>com.alibaba</groupId>
      <artifactId>fastjson</artifactId>
      <version>1.2.56</version>
    </dependency>

fastjson 1.2.56 版本是存在漏洞版本的

<dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.2</version>
        </dependency>

mybatis 容易出现sql注入

fastjson

fastjson 主要搜索关键字:

JSON.toJSONString和JSON.parseObject/JSON.parse

都不存在,搜索了没啥可控的地方
b3c3490cf7f0054275c2dcb3c64a0db9.png
项目实际并没有使用到parseObject

SQL注入

使用的mybatis

<dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.2</version>
        </dependency>

预编译了会使用#{
可以搜索关键字

${
order by 
in 
like 
....

常用还是喜欢搜索${
f877c1247b73fe82b5617a68484c57a1.png
直接搜索就能找到一个地方存在
参数是 dictName
跟踪一下
点击这个小箭头跳转或是搜索id都是可以的
cedc59b9706e6d90e7480f7ca1979ee0.png
点击箭头跳转会跳转到dao层
0116a6609818a14fac866fe70a6a89c0.png
然后再点击getFuzzyDictByPage
1c4ebfa94c2313f67ab200a57cca11f7.png
跳转到service层
ac3d87204730574b24b7aaa54be36dad.png

@Override
public Result<MyDict> getDictPage(Integer offectPosition, Integer limit, MyDict myDict) {
    Page page = PageHelper.offsetPage(offectPosition,limit);
    List<MyDict> fuzzyDictByPage = dictDao.getFuzzyDictByPage(myDict);
    return Result.ok().count(page.getTotal()).data(fuzzyDictByPage).code(ResultCode.TABLE_SUCCESS);
}

@Override
public MyDict getDictByName(String dictName) {
return dictDao.getDictByName(dictName);
}

是一个分页查询数据的功能
点击getDictPage
跳转到Controller 层
dac424ca0d77f96ab2c4f4928ea66121.png

@GetMapping
    @ResponseBody
    @ApiOperation(value = "字典列表")
    @PreAuthorize("hasAnyAuthority('dict:list')")
    @MyLog("查询字典列表")
    public Result getDictAll(PageTableRequest pageTableRequest, MyDict myDict){
        pageTableRequest.countOffset();
        return dictService.getDictPage(pageTableRequest.getOffset(),pageTableRequest.getLimit(),myDict);
    }

是一个查询字典列表 的功能去后台查看
797060ca849fdcc88912130caa1bd6b4.png
点击查询字典抓包
b5b3dd3046b6b18345cc7bf4636d1e8c.png
175c1c8fa7e71e3d3a6fd33fd8e98413.png
找到SQL注入参数 :dictName
输入单引号会报错
1439c539131ac16743210e2549b8a0c7.png
闭合不了 ,直接拼接sql语句
使用延时注入测试
261031b1bed0d5ab446df943da253d3b.png
c476401265c296526adf74268f7293ae.png
成功延迟3秒 ,存在注入 。

越权

越权的代码审计还不太会,先结合黑盒测试 ,然后再去看看代码
先添加一个低权限的用户
4792463e6e1fed7eb0b06fdb1bf37aba.png
高权限用户查询人员
8cdac8c8d8210d4f45f077a75d0b3b64.png
高权限的编辑接口
d02f5b00ccd80ed79fd2411f2b962750.png

/api/user/edit/?userId=1

切换低用户
低权限用户啥都没有
630e105e2b3edd632dafd1d00cd4c1c2.png
使用接口看看
通过编辑的接口就可以查看所有人的信息
d2ea8bcac43c1646c942a064b64fba76.png
证明是存在垂直越权的
他这是存在一个是否为admin的判断的
c1050cbcfdeb8a5188353913808c2a1c.png
但是这里还是有点逻辑没搞懂,可能因为sql哪里是没有做查询用户限制的 。

未授权

项目引入了SpringSecurity
a23084298be0d12891b7c730332a57ff.png
SpringSecurity会配置一些放行的静态资源,有时错误的配置会将一些关键资源放行,造成未授权访问
搜索静态
431d4744fd2d9ca6e5a930745775918f.png
有一个放行静态资源的接口
常见熟悉的就有
5a247a274876e9ff4412bbd9ae4b6910.png

druid
actuator
swagger-ui.html
.....

d2fdd9194264a2503afbb3d832e3d459.png
f19f924579abe970a9ec527cb6fcbd88.png
配置里面也会写druid的账号密码
39cc604f1037d4dee24374ea40c137ab.png
afb34cbc940adc27f8a8b7466f6d8b85.png

小龙_(R0 Team)
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个基于SpringBoot开发RBAC系统,非常适合新手入门JavaWeb代码审计实战的系统,长文警告,要好好学习。
Power7089的博客
08-08 3127
一个基于SpringBoot开发RBAC系统,非常适合新手入门JavaWeb代码审计的系统,长文警告,要好好学习哦。
mysql监控 代码审计_DBMONITOR-sqlserver mysql monitor 审计 监控
weixin_36198673的博客
02-28 663
DbMonitor介绍DbMonitor是基于PHP开发的监控/运维/审计一体化平台。无缝衔接私有云与公有云,专为开发者提供稳定、高效、安全的云端软件数据库协作平台。DbMonitor专业版 基于 ThinkPHP +Hi-admin 开发权限(RBAC)及数据库运维/监控框架,框架中集成了数据库权限分配/权限管理/全局配置/权限管理/主机配置/SQLServer配置/数据库审计/SQLServe...
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——用户、组织和用户组)
晓风残月淡的博客
07-19 1015
RBAC模型是将客体的存取访问的权限在可靠的控制下连带角色所需要的操作一起提供给那些角色所代表的用户,通过授权的管理机制,可以授予一个角色多个权限,而一个权限也可以赋予多个角色,同时一个用户可以扮演多个角色,一个角色又可以接纳多个用户。
RBAC权限管理
Java领域
07-06 9522
本博文会着重介绍一下RBAC的相关内容。BAC是Role-Based Access Control的缩写,含义为基于角色的访问控制模型,此模型是20世纪90年代在美国第十五届全国计算机安全大会上提出的,后逐步被业界广泛使用,至2004年形成了ANSI/INCITS标准。时至今日,RBAC访问控制模型已经渗入IT领域的多个方面,有传统技术方面的操作系统、数据库、中间件Web服务器,有新兴技术方面的Kubernetes、Puppet、OpenStack等。
RBAC系统设计与开发:构建灵活可维护的权限管理系统
qq_44664868的博客
04-03 2103
RBAC系统设计与开发:构建灵活可维护的权限管理系统RBAC(Role-Based Access Control,基于角色的访问控制)。这是一种在计算机系统中实施访问控制的方法,它根据用户的角色来限制对资源的访问。下面我将介绍RBAC,并提供一个案例。
RBAC权限管理,Shiro实践
qq_41617901的博客
06-11 2877
RBAC中,每个角色都被授予一组权限,而用户则被分配到一个或多个角色。用户可以访问与他们相关的角色所授予的权限。这种机制使得管理和授权变得更加容易,因为只需要将用户分配到角色,而不需要为每个用户单独指定其访问权限。RBAC通过将用户分配到不同的角色,来控制用户对系统中资源的访问权限。RBAC还可以减少错误和安全漏洞的可能性,因为访问控制是由系统管理员预先配置好的,并且与用户的身份无关。此外,RBAC还支持审计和监控,以便对用户的访问行为进行跟踪和检查。
基于RBAC的一个简单的权限管理系统
weixin_41588751的博客
01-06 293
1项目使用的框架是ssm 2.项目的结构: 3.主要的表: 4.主要的点就是在于考虑清楚员工和角色,角色和权限之间的关系,都是多对多的关系,其他的都是很常规的代码,再有就是涉及到的自定义注解和权限校验的问题,下面也分享了代码,可以下载看看. 项目代码 提取码:y9b4 ...
权限系统设计详解(一):RBAC 基于角色的访问控制
路多辛的所思所想
01-31 1709
RBAC(Role-Based Access Control,基于角色的访问控制)是一种被广泛使用的权限管理模型,用于控制用户对系统资源的访问权限。通过将权限与角色相关联,然后将角色分配给用户,从而实现更灵活、更易于管理的安全策略。
RBAC权限系统方案实现
最新发布
BUG指挥课堂
09-02 605
举个栗子,对于部门来说,一个部门拥有一万多个员工,这些员工都拥有相同的角色,如果没有用户组,可能需要一个个的授予相关的角色,在拥有了用户组以后,只需要,把这些用户全部划分为一组,然后对该组设置授予角色,就等同于对这些用户授予角色。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。优点:减少工作量,便于理解,增加多级管理,等。
基于SpringBoot+SpringSecurity的RBAC管理系统,易读易懂.zip
12-24
【标题】: "基于SpringBoot+SpringSecurity的RBAC管理系统" SpringBoot和SpringSecurity是Java开发领域中的两个重要框架,广泛应用于构建现代化的企业级应用程序。本项目是一个基于这两个框架实现的角色(Role)- ...
RBAC权限控制代码
11-23
综上所述,"RBAC权限控制代码"涉及到了RBAC模型的理论基础,以及在Java Web环境中如何利用监听器、过滤器和拦截器来实现精细的权限管理。理解并掌握这些知识点对于开发安全、可维护的Web应用程序至关重要。
RBAC权限管理系统
11-20
**RBAC权限管理系统详解** 在IT行业中,权限管理是系统安全的重要组成部分,尤其在企业级应用中更是不可或缺。本文将围绕“RBAC权限管理系统”展开,解析其核心概念、技术选型以及实现过程。 **RBAC(Role-Based ...
RBAC 权限管理系统后端-egg-rbac-server.zip
01-30
《基于Egg.js的RBAC权限管理系统的后端实现详解》 在现代Web应用程序开发中,权限管理和控制是至关重要的安全机制。Role-Based Access Control(RBAC)模型因其灵活性和可扩展性,被广泛应用于各类系统中。本项目...
PHP高效进销存管理系统智能管理库存销售与采购系统小程序源码
2401_84413795的博客
09-02 368
在这个快速发展的时代,企业要想在激烈的市场竞争中脱颖而出,就必须不断提升自身的运营效率和管理水平。高效进销存管理系统正是你实现这一目标的有力武器。它以其智能、高效、便捷的特点,帮助你轻松驾驭库存、销售与采购三大环节,引领你的企业迈向更加辉煌的未来!
DZ主题模板 Discuz迪恩淘宝客购物风格商业版模板
2403_86698467的博客
09-02 372
包括网站首页,论坛首页,论坛列表页,论坛内容页,论坛瀑布流,频道列表页,频道内容页(支持多个)。方便新手老手运营以及后期维护,时尚大气简洁。模板添加了不少处动画效果,增加用户体验和粘度。版本支持:discuzx3.0版本,discuzx3.1版本,discuzx3.2版本。模板有很多细节都有体现,同时对官方模板文件结构和功能位置做了更为优化的设计处理,模板论坛首页,列表页,内容页,以及文章页面数据采用DIY数据读取,Discuz淘宝客网站模板,迪恩淘宝客购物风格商业版模板。
抽奖系统PHP源码开源二开版带完整后台
jiyc2008的博客
08-28 398
抽奖系统源码是一个以php MySQL进行开发的手机抽奖系统源码。用途:适合做推广营销、直播、粉丝抽奖。1、后台可以设置每个抽奖用户的抽奖次数,后台添加设置奖品,适和企业和商场搞活动,后台添加用户,才能抽奖。经过电脑管家、网站安全狗扫描特征码,没有发现可疑文件,请放心使用。该程序可以作为活动氛围活动气氛的烘托作用,活动游戏而已!3、后台可以设置每个奖品的中奖概率,中奖概率采用百分制。2、后台可以添加上传抽奖商品图片和奖品名称。测试环境:php5.6 Mysql。4、会员前台可以查询中奖记录。
使用 树莓派3B+ 对日本葡萄园进行经济实惠的环境监测
EDATEC的博客
08-29 1518
然而,他也热衷于酿造 “优质葡萄酒”,随着他所居住的东京北部胜沼地区葡萄酒旅游业的兴起,他感觉到了商机。菊岛热衷于在他所谓的 “Hinno ”物联网系统中使用太阳能,日语中的 “Hinno ”表明这是一种简单的农民葡萄栽培方法,因为太阳能还可以用来为电栅栏供电,防止动物靠近作物。他还可以在办公室里随时观察大气状况。对于 菊岛邦夫—Vineyard Kikushima 而言,Raspberry Pi 生态系统提供了支持和信息,通过基于温度和湿度监测的有针对性的最低限度杀虫剂方案,来提高葡萄的健康产量。
python反序列化
2301_79783285的博客
08-30 1214
pickle序列化:将 Python 对象转换为可以存储或传输的格式。反序列化:将序列化的数据转换回 Python 对象。pickle模块:支持复杂的 Python 对象,但存在安全风险。json模块:支持 JSON 格式,更安全,适用于大多数应用场景。安全性:处理不受信任的数据时,应避免使用pickle。r:只读模式。w:写入模式,会清空原有内容。a:追加模式。b:二进制模式。:读写模式。x:独占创建模式。t:文本模式(默认)。
rbac权限管理实战
08-23
RBAC(Role-Based Access Control)是一种常见的权限管理模型,它基于角色来控制对系统资源的访问权限。下面是一些关于RBAC权限管理实战的步骤: 1. 定义角色:首先需要明确系统中的不同角色,如管理员、普通用户、编辑员等。每个角色应该有明确的职责和权限范围。 2. 确定权限:对于每个角色,需要确定其具体的权限列表。这包括可以执行的操作、可以访问的资源等。一般来说,可以将权限分为读取、写入、修改和删除等级别。 3. 分配角色:根据用户的实际需求和职责,将相应的角色分配给他们。这可以通过用户注册时选择角色,或者由管理员在后台手动分配。 4. 实现权限验证:在系统中实现权限验证机制,确保用户只能访问其拥有权限的资源。这可以通过在代码中添加条件判断,或者使用框架提供的权限管理功能来实现。 5. 动态调整:随着业务需求的变化,可能需要动态调整角色和权限。在系统中提供相应的界面或接口,使管理员能够灵活地修改角色和权限配置。 6. 审计和日志记录:记录用户的操作日志和权限变更日志,以便监控系统的安全性和追踪问题。 总结起来,RBAC权限管理实战包括定义角色、确定权限、分配角色、实现权限验证、动态调整和审计日志记录等步骤。通过合理使用RBAC模型,可以提高系统的安全性和可维护性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值