springboot针对返回的response拦截处理越权问题

已于 2024-05-30 11:52:56 修改
阅读量557 收藏
点赞数 3
文章标签: spring java 后端
于 2024-05-30 11:52:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lu1171901273/article/details/139320151
版权

背景:针对越权测试,通过拦截工具Fiddler修改请求参数,越权查看平台里面所有公司的数据

1、自定义MyResponseBodyAdvice 实现ResponseBodyAdvice

使用过滤器和拦截我都试过,最终没有成功,可能技术比较菜,这种方式相当简单

逻辑:

1、获取请求路径path

2、获取当前登录人的公司id和userId,如果为空说明是登录、注册等相关接口,直接返回

3、redis中配置不需要拦截的接口(文件上传、导出等),获取配置,与当前接口路径相比较,如果包含说明不需要拦截

4、判断返回的json串中是否包含当前登录人的公司或者userId,如果包含,说明是有访问权限的,如果不包含,说明是恶意攻击,直接返回没有权限

package com.xiaoniu56.security.interceptor;

import cn.hutool.core.util.ObjectUtil;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.xiaoniu56.common.cache.redis.StringRedis;
import com.xiaoniu56.security.ApplicationNiuContext;
import com.xiaoniu56.service.common.CacheService;
import com.xiaoniu56.webservice.param.Constant;
import lombok.SneakyThrows;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.MethodParameter;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;

import javax.annotation.Resource;

@ControllerAdvice
public class MyResponseBodyAdvice implements ResponseBodyAdvice<Object> {

    @Autowired
    private CacheService cacheService;

    @Resource
    private StringRedis<String, String> stringRedis;

    @Autowired
    private ObjectMapper objectMapper;

    @Override
    public boolean supports(MethodParameter methodParameter, Class<? extends HttpMessageConverter<?>> aClass) {
        return true;
    }

    @SneakyThrows
    @Override
    public Object beforeBodyWrite(Object body, MethodParameter methodParameter, MediaType mediaType, Class<? extends HttpMessageConverter<?>> aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
//        Object header= null;
//        if (body != null) {
//            JSONObject jsonObject = JSON.parseObject(body.toString());
//            header = jsonObject.get("header");
//        }
//        if(1 == 1){
//            Map map = new HashMap();
//            Body bodyOne = new Body();
//            bodyOne.setCode(RESULT_CODE.FAIL.getValue());
//            bodyOne.setContent("抱歉,您没有访问权限");
//            map.put("header", header);
//            map.put("body", bodyOne);
//            return map;
//        }
        //获取前端请求的路径
        String path = serverHttpRequest.getURI().getPath();

        if(ObjectUtil.isEmpty(body)){
            return body;
        }

        //获取当前登录人的公司id
        String currentUserCompanyId = ApplicationNiuContext.getCurrentUserCompanyId();
        String userId = ApplicationNiuContext.getCurrentUserId();
        if(ObjectUtil.isEmpty(currentUserCompanyId) || ObjectUtil.isEmpty(userId)  ){
            return body;
        }

        String dictJson = stringRedis.getV(Constant.DIC_CACHE);
        String code = "";
        JSONArray jsonArray = JSON.parseArray(dictJson);
        for (Object obj : jsonArray) {
            JSONObject jsonObject = (JSONObject) obj;
            //这里根据type去获取code,code的长度为1024
            Object type = jsonObject.get("type");
            if(!Constant.filter_url_code.equals(type)){
                continue;
            }
            code = jsonObject.get("code").toString();
        }



        if (code.contains(path)) {
            return body;
        }

        String retrunJson = body.toString();
        if(!retrunJson.contains(currentUserCompanyId) && !retrunJson.contains(userId)){
            System.out.println("path--->"+ path);
            throw new Exception("无访问权限,请检查重试");
        }

        return body;

    }
}

@进行中
关注
SpringBoot后台管理权限控制
PopeyeESpinach的博客
05-31 2340
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 权限控制service @Override public boolean hasPermi(String menuCode) { if (StringUtils.isBlank(menuCode)) { log.info("权限校验:菜单编码为空"); throw new RuntimeException("权限校验:没权限"); } try { Stri..
springboot实现登录功能和拦截器功能实例
zz775854904的博客
09-11 2669
功能需求: springboot登陆页面进行登陆验证,并完成登陆跳转。错误的账户提示用户名密码错误,正确的账户跳转到index页面。 同时加上登陆拦截器,对于错误的账户不允许直接访问index页面。 一 登陆验证 实现输入正确的用户名密码直接进入index页面,输入错误提示用户名密码错误。 1.要实现登录,我们需要先编写一个登录的controller类: @Controller public class LoginController { @RequestMap...
水平越权和垂直越权,以及ruoyi框架中如何解决
最新发布
weixin_73330044的博客
04-11 1208
水平越权是“同级别用户互访资源”,核心在于未校验资源归属;垂直越权是“低权限用户访问高权限功能”,核心在于未校验角色权限。两者均属于权限控制漏洞,需在后端代码中严格实现“身份认证+授权校验”,避免依赖前端或简单的参数校验。在Spring Boot等框架中,可结合Security组件、自定义注解、AOP等技术实现细粒度的权限管理,确保每个请求都经过完整的权限校验流程。结合ruoyi框架的实际解决方法在Ruoyi 框架。
SpringWeb项目越权漏洞以及解决方案
luostudent的博客
04-12 9736
越权漏洞是什么,如何解决?
代码审计.Springboot.越权
qq_34012951的博客
02-24 289
获取低权限(无部门编辑)用户的cookie(Cookie: JSESSIONID=D942B2770374430B5461AC0F5BA33FEE)2、没有对API和数据分别进行权限校验。1、审计部门编辑功能代码。
代码审计.springboot+ssm(erp).越权
qq_34012951的博客
03-02 238
3、发现系统采用了mybatis-plus,现自动添加租户ID。1、更新用户密码,未对用户进行校验。
java web项目基于spring-boot-start封装越权检查服务及应用
liaomingwu的专栏
03-21 1255
java web项目基于spring-boot-start封装越权检查服务及应用
springboot数据越权和数据安全
格局决定一切,智恒方远
06-08 2373
 既前端时间转载了一篇"系统明文密码加密传输"文章后,在项目中很多地方都设计到公匙,这里分享一位博主的开源奉上githup地址:https://github.com/yinjihuan/spring-boot-starter-encrypt#%E5%89%8D%E8%A8%80...
API横向越权修复之ID加密
fh_luchenxi的博客
02-01 1541
横向越权一般发生在应用系统做了【认证】,但没有做【鉴权】的情况下,也是最常见的漏洞之一。请求接口时一般都会要求携带TOKEN,无论是JWT还是RSA的,至少不会是裸奔。这里的TOKEN就是【认证】信息,接口通过TOKEN去判断当前用户是否有请求接口的权限。但如果接口中没有做【鉴权】则会发生横向越权,。建立完善的权限策略是控制越权最合适的方法,但很多系统已经维护了很多年,里面的功能很庞大,往里面集成权限策略难度较大,需要去定义角色,梳理业务数据与角色的关系,然后开发权限管理功能,再挨个功能去添加鉴权;
10.SpringBoot 统一处理功能
xinhang10的博客
05-27 2260
本文章主要为大家介绍了拦截器的相关功能及作用,拦截器在项目中也有重要的作用,他能在用户进行操作的时候进行身份的验证,从而拦截用户在操作时进行的越权操作,拦截器的使用以及需要引用的注解都在文章中,大家感兴趣的话可以自行了解。
SpringBoot 权限控制(菜单控制,页面元素控制,url控制
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
springboot权限控制系统
09-21
项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,即可开启redis支持.
探究SpringBoot中文件上传的安全性问题
SpringBoot应用中,文件上传功能为用户提供了便利,但其安全性却是需要被高度重视的。 B. **概述文件上传过程中可能存在的安全隐患** 尽管文件上传为用户提供了很大的便利性,但是在其背后隐藏着许多潜在的安全...
《学会 SpringMVC 系列 · 写入拦截ResponseBodyAdvice》
山人行
08-03 2703
前几篇博文,大致了解了SpringMVC请求流程中的参数与返回值的源码分析,后续的几篇博文,会将流程中涉及的若干关键环节单独拿出来讲解,并结合实战中的运用,帮助领略SpringMVC带来的定制和扩展能力。本篇文章先介绍一下 ResponseBodyAdvice 相关内容。相关博文《学会 SpringMVC 系列 · 基础篇》《学会 SpringMVC 系列 · 剖析篇(上)》《学会 SpringMVC 系列 · 剖析入参处理》《学会 SpringMVC 系列 · 剖析出参处理
Spring Boot 之 RESRful API 权限控制
weixin_34184561的博客
11-21 136
一、为何用RESTful API 1.1 RESTful是什么? RESTful(Representational StateTransfer)架构风格,是一个Web自身的架构风格,底层主要基于HTTP协议(ps:提出者就是HTTP协议的作者),是分布式应用架构的伟大实践理论。RESTful架构是无状态的,表现为请求-响应的形式,有别于基于Bower的SessionId不同。 1.2理解REST有...
Springboot actuator不可不注意的安全问题-可越权-可脱库
Spontaneous_0的博客
01-13 543
Springboot actuator不可不注意的安全问题-可越权-可脱库
springboot 拦截 response 过滤内容
tyf07的博客
08-03 7965
https://blog.youkuaiyun.com/a582127421/article/details/78321888#commentBox @Component @Order(1) @Slf4j @WebFilter(filterName = "errorMsgFilter", urlPatterns = "/*") public class ErrorMsgFilter implements ...
SpringBoot 拦截 response 记录日志
weixin_30917213的博客
06-15 330
废话不多说直接上代码 package com.gs.techpub.filter; import com.gridsum.techpub.utils.JsonUtil; import org.aspectj.lang.annotation.AfterReturning; import org.aspectj.lang.annotation.Aspect; import org.s...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
weixin_33881041的博客
10-13 1288
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题 当前后端分离时,权限问题处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值