漏洞名称:

接口未授权访问

漏洞位置:

2022-04-19_093552.png

漏洞分析:

  1. 看下方代码

2022-04-19_093802.png

  1. 这里是网站所有路由地址,这里关注/uploads/ueditor接口,这个接口在api路由组里面,但未进行登录校验(上图中的middleware(‘CheckLogin’,’admin’)),故无需权限可直接访问/uploads/ueditor接口下的所有操作。往下追踪进入对应的控制器

2022-04-19_094458.png

  1. 如上图中switch下的所有case都可以未授权进行,已uploadimage为例进行复现。构造接口如下:

图片1.png

  1. 如上图所示,无需权限可直接上传图片到存储桶中。

    漏洞修复:

    这些接口均需要权限校验通过后才可正常访问,故添加鉴权操作。