Closed zenggong965 closed 7 months ago
IM服务配置文件中有下面这个配置:
## 禁止客户端群操作。第1位是禁止创建群组,第2位是禁止销毁群组,3位禁止加入群,4位禁止退出群,5位禁止邀请群成员,6位禁止移出群成员,7位禁止转移群,8位禁止设置群管理员,9位禁止黑白名单处理,10位禁止群禁言,11位禁止修改群组信息,12位禁止群成员禁言。
## Server API不受此限制。
#group.forbidden_client_operation 0xFFF
可以打开这个开关,修改这个值,禁止某些客户端操作,然后这些群组操作改成调用server api来处理。
操作说明
观察到: 群里设置成仅群管理拉人进群
表现现象
出现能够有用户不需要人拉进群,直接进群的现象 推测可能是直接通过调用joinGroup接口,如果joinGroup接口没有校验进群方式的话,可能就能直接遍历gid来加群
预期结果
如果群里仅限群管理拉人,此时扫码进群的joinGroup接口关闭,就算有人直接调接口也走不通,这样更安全
补充条件
因为是观察到的现象,我们自己没有试过直接模拟请求调接口,需要野火团队帮忙看看