西宁小程序代码审计 青岛四海通达电子科技有限公司

青岛四海通达电子科技有限公司

代码怎么用：代码运行、功能、效果等调用分析
在对网站程序代码的安全检测当中，网站文档任意查看漏洞在整个网站安全报告中属于比较高危的网站漏洞，一般网站里都会含有这种漏洞，尤其平台，商城，交互类的网站较多一些，像普通权限绕过漏洞，导致的就是可以查看到网站里的任何一个文档，甚至可以查看到网站的配置文档config等等。我们SINE安全公司在对gitea开源程序代码进行网站安全检测的时候发现存在网站文档任意查看漏洞，没有授权的任意一个用户的账号都可以越权创建gitea的lfs对象，这个对象通俗来讲就是可以利用gitea代码里写好的第三方api借口，进行访问，可以实现如下功能：读取文档，上传文档，列目录等等的一些读写分离操作。

业内人士认为，一方面，传统网络安全问题得到有效控制，另一方面，云平台、数据安全等新兴领域的安全问题不断凸显。

对于越权、逻辑的鉴权模型，是要对网站代码、以及APP里的data数据与浏览数据进行安全分离部署，并建立相对的信任模型，白名单安全模型，对用户的权限，以及操作进行详细的安全鉴权，把权限落实的每一个用户的操作细节当中去，才能更好完善整个网站安全，以及APP安全。关于网站安全与逻辑、越权漏洞的修复建议：1.对于一些需要公开的数据与用户的功能，单出一个安全API接口供他们使用。

2018年的中秋节即将来临，我们Sine安全公司，近接到很多用dedecms程序的企业公司网站客户的反馈，说是公司网站经常被篡改，包括网站首页的标题内容以及描述内容，都被改成了什么北京sai车，北京P-K等等的内容，而且大多数的网站客户都是从百度搜索关键词，点击进公司网站会被直接跳转到du博网站上去。
对此我们Sine安全已经处理过很多像这样问题的客户网站，这种安全问题普遍的特征就是：频繁反复性质的篡改网站首页，重新在网站后台首页生成后，被篡改的内容就会清除，但没过多久就又被篡改了，使很多网站的负责人很烦恼，公司网站频繁被黑被篡改被跳转du博网站的安全问题，给公司的利益带来了很大的损失，比如客户从百度搜索公司产品或百度推广的进入到公司网站会被直接跳转到du博网站上去，导致客户对该公司的信誉降低，产生不信任。
Sine陈技术  人也随和直爽，昨晚还熬夜主动帮解决服务器问题，很感动！这么热情务实有担当的高手真难得，可以成为的朋友！——向Sinesafe致敬！