Closed pankass closed 1 year ago
配置少了个 * 导致越权 https://github.com/weiwosuoai/WeBlog/blob/147e7b7e476c2ee5f971204d0244c1b2048d127b/weblog-springboot/weblog-module-admin/src/main/java/com/quanxiaoha/weblog/admin/config/WebSecurityConfig.java#L46C12-L46C12
*
https://github.com/weiwosuoai/WeBlog/blob/147e7b7e476c2ee5f971204d0244c1b2048d127b/weblog-springboot/weblog-module-admin/src/main/java/com/quanxiaoha/weblog/admin/dao/impl/AdminTagDaoImpl.java#L47C36-L47C36 采用字符串拼接方式导致sql注入 https://baomidou.com/pages/10c804/#apply
/admin/tag/search 接口存在SQL注入
mvcMatchers("/admin/*") 修改为 mvcMatchers("/admin/**") 不使用字符串拼接方式查询SQL
mvcMatchers("/admin/*")
mvcMatchers("/admin/**")
感谢反馈,晚上回去修复一下~
越权
配置少了个
*
导致越权 https://github.com/weiwosuoai/WeBlog/blob/147e7b7e476c2ee5f971204d0244c1b2048d127b/weblog-springboot/weblog-module-admin/src/main/java/com/quanxiaoha/weblog/admin/config/WebSecurityConfig.java#L46C12-L46C12SQL注入
https://github.com/weiwosuoai/WeBlog/blob/147e7b7e476c2ee5f971204d0244c1b2048d127b/weblog-springboot/weblog-module-admin/src/main/java/com/quanxiaoha/weblog/admin/dao/impl/AdminTagDaoImpl.java#L47C36-L47C36 采用字符串拼接方式导致sql注入 https://baomidou.com/pages/10c804/#apply
/admin/tag/search 接口存在SQL注入
修复建议
mvcMatchers("/admin/*")
修改为mvcMatchers("/admin/**")
不使用字符串拼接方式查询SQL