# smart-web2简单OA系统未授权漏洞
## 漏洞描述
smart-web2是一套相对简单的OA系统;包含了流程设计器,表单设计器,权限管理,简单报表管理等功能,经过代码审计发现其存在未授权漏洞。
## 漏洞影响
> smart-web2
## 漏洞分析
1、漏洞代码位置
“`
cn.com.smart.web.interceptor.ACLInterceptor
“`
这是一个拦截器,在第164行对用户的uri进行了判断,如果isExclude返回为True,则会走到else,走到else则不需用户进行身份认证。
接下来我们追踪isExclude代码:
excludeMaps来源于:
“`
smart-web2.src.main.resources.spring-web-config.xml
“`
继续追踪,内容为:
我们可以确定如果uri开头为excludeMaps中的内容则不需要认证,例如
“`
http://x.x.x.x:8080/sso/../user/list
“`
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容