Java代码审计-因酷网校在线教育系统-越权漏洞分析

登录个人账号后，点击基本资料。有更新资料的功能。

查看这个页面的html源码，进行代码审计。（这点怎么通过源码怎么找到的就不提了，写上实在啰嗦了。）

代码jsp页面源码如下，查看这个表单信息

注意：hidden 属性—这是一会越权的伏笔

   
 
 邮 箱<!--  -->
 手机号<!--  -->
 姓 名<!-- 请输入正确的账 号 -->
 昵 称<!-- 请输入正确的昵称 -->
 性 别<input type="radio" name="user.sex" checked="checked" value="1"/>男<input type="radio" name="user.sex" checked="checked" value="2"/>女<!--  -->
 年 龄 0岁 <option selected value="${age}">${age}岁 <!--  -->
 
 提 交 

找到提交触发的js代码

user.js

/** * 修改用户信息 * @param userId 用户ID */function updateUserInfo(userId){var params='';$("#updateForm input,#updateForm select").each(function(){ params+=$(this).serialize()+"&"; });$.ajax({ url:baselocation+'/uc/updateUser', type:'post', dataType:'json', data:params, success:function(result){ if(result.success==true){showUserInfo();dialog('提示信息',result.message,0); }else{dialog('提示信息',result.message,1); }}});}

这段代码是使用 jQuery 来收集表单中的输入字段（input）和选择字段（select），并将其序列化为 URL 参数字符串的示例。

具体来说，代码首先声明了一个变量 params，用于存储最终生成的参数字符串。然后使用 jQuery 的 .each() 方法遍历了 #updateForm input 和 #updateForm select 两个选择器选中的元素。

在遍历过程中，对于每个选中的元素，调用了 .serialize() 方法来序列化该元素，将其转换为 URL 编码的参数字符串。然后将得到的参数字符串添加到 params 变量中，通过字符串拼接的方式进行累加。最后，在每个字段之间添加了 & 字符串作为分隔符。

通过这段代码的执行，你可以得到一个类似于 param1=value1&param2=value2&param3=value3 的参数字符串。它包含了表单中所有输入字段和选择字段的名称和值的对应关系。

这段代码使用了 jQuery 的 $.ajax() 方法来向服务器发送一个 AJAX 请求，并处理服务器返回的结果。

具体来说，代码中的 $.ajax() 方法包含了一个对象参数，其中包括以下属性：

• url: baselocation+'/uc/updateUser'：指定了请求的 URL 地址，这里的 baselocation 是一个变量或常量，表示基本的请求地址。

• type: 'post'：指定了请求的 HTTP 方法为 POST。

• dataType: 'json'：指定了期望的服务器响应数据类型为 JSON，这样 jQuery 会自动解析响应结果并将其转换为 JavaScript 对象。

• data: params：指定了请求的数据内容，这里的 params 是之前生成的参数字符串。

• success: function(result) { ... }：指定了当请求成功完成后的回调函数。其中，result 是服务器返回的响应数据。

在 success 回调函数中，首先判断 result.success 是否为真（即 true）。若为真，则调用 showUserInfo() 函数展示用户信息，并通过 dialog() 函数显示一个提示信息框，其中 result.message 是成功消息内容。若 result.success 不为真，则同样通过 dialog() 函数显示一个提示信息框，其中 result.message 是失败消息内容。

整个代码的作用是向 baselocation+'/uc/updateUser' 发送一个带有参数的 POST 请求，然后根据服务器返回的结果动态更新页面上的内容和显示提示信息。

请注意，在运行此代码之前，确保引入了 jQuery 库，并在页面加载完毕后执行代码，或将代码放置在合适的事件处理程序中。

如果你需要进一步的帮助，请提供更多上下文或相关代码。

根据post提交的接口，/uc/updateUser，/uc 为指定的拦截器 ，

站点spring-mvc.xml文件

IntercepterWebLogin继承HandlerInterceptorAdapter类

class IntercepterWebLogin extends HandlerInterceptorAdapter

具体来说，HandlerInterceptorAdapter 类可以实现以下功能：

1. preHandle 方法：在请求处理之前执行的方法。可以用来进行登录状态验证、权限检查、日志记录等操作。如果该方法返回 true，则表示允许进入下一步的处理（比如调用控制器方法），如果返回 false，则表示拦截该请求。

2. postHandle 方法：在请求处理之后、视图渲染之前执行的方法。可以用来修改请求的响应或处理其他后续操作。

3. afterCompletion 方法：在整个请求完成后执行的方法。可用于进行一些资源清理或处理善后工作。

/updateUser 就为我们响应的方法了，一定位于某个controller中。底层用反射机制实现的方法调用。

定位的到响应的RequestMapping，也可以全局搜索updateUser定位到该方法。

/*** 修改用户信息*/@RequestMapping("/updateUser")@ResponseBodypublic Map updateUserInfo(HttpServletRequest request){ Map json = new HashMap(); try{ String userName=request.getParameter("userName");//姓名 if(userName==null||userName.trim().equals("")){json=this.setJson(false, "姓名不能为空", null);return json; } String showName=request.getParameter("showName");//昵称 if(showName==null||showName.trim().equals("")){json=this.setJson(false, "昵称不能为空", null);return json; } String sex=request.getParameter("sex");//性别 1男 2女 if(sex==null||sex.trim().equals("")){json=this.setJson(false, "性别不能为空", null);return json; } String age=request.getParameter("age");//年龄 if(age==null||age.trim().equals("")){json=this.setJson(false, "年龄不能为空", null);return json; } String userId=request.getParameter("userId");//用户Id if(userId==null||userId.trim().equals("")){json=this.setJson(false, "用户Id不能为空", null);return json; } User user=new User(); user.setUserId(Integer.parseInt(userId));//用户Id user.setUserName(userName);//姓名 user.setShowName(showName);//昵称 user.setSex(Integer.parseInt(sex));//性别 user.setAge(Integer.parseInt(age));//年龄 userService.updateUser(user);//修改基本信息 json = this.setJson(true, "修改成功", user);}catch (Exception e) { json=this.setJson(false, "异常", null); logger.error("updateUserInfo()---error",e);} return json;}}

@ResponseBody 不用管，这是底层为维护方法返回的json数据所增加的注解。

这段代码是一个用于更新用户信息的方法。具体功能如下：

1. 通过 HttpServletRequest 对象获取请求参数，包括 userName（姓名）、showName（昵称）、sex（性别）、age（年龄）和 userId（用户Id）等信息。

2. 对每个参数进行非空判断，如果有任何一个参数为空或空字符串，则返回一个包含错误信息的 json 对象。

3. 如果所有参数都不为空，则根据获取的参数创建一个 User 对象，并设置相应的属性值。

4. 调用 userService.updateUser(user) 方法来更新用户的基本信息。

5. 如果更新成功，返回一个包含成功信息和更新后的 user 对象的 json 对象；如果出现异常，则返回一个包含异常信息的 json 对象。

user对象没有对用户输入的数据做验证，平且所有的数据字段我们都可以控制。直接set传进来的参数，执行updateUser，这就非常像越权漏洞了。

正确的做法应该是，登录的用户只能修改自己的相关信息，用户Id（唯一键值）应该是固定自己的。

这里就没有必要往下看了，因为之后在updateUser中做本用户的验证几率不大。

如果不放心可以追进这个方法里，看看有没有对输入的数据做验证！是不是按照流程将指定的user参数进行更新。

……..