我在应用程序中发现了一个不知道如何解决的安全风险。我只是在对HTML进行检查时发现了这一点,并且正在使用它。
所以我在表单标签上有这段代码
<%= form_tag("/spree/admin/workorders/#{@workorder.id}
/?workflow_id=#{workflow.id}
&name=workstep_name_{workflow.product_workstep.workstep.name}
&workstep_id=#{workflow.product_workstep.workstep.id}", method: "put")do%>
该方法将捕获查询参数。
def update
@incoming_status = params[params[:name]]
# grab workflow, this is current data, use this to compare status to in comming status
@workflow = get_workorder_product_workstep(params[:workflow_id])
if is_workstep_for_shipping?
if @workorder.order.shipment_state.downcase == "shipped"
update_workflow
else
flash[:notice] = "Product not yet shipped"
end
else
update_workflow
end
redirect_to admin_workorder_path(@workorder)
end
def update_workflow
# check current status if its pending allow to update
if @workflow.send("can_#{@incoming_status}?")
# update status
@workflow.send(@incoming_status.to_s)
# updated attribute handled_by
@workflow.update_attributes(handled_by_id: @curr_user.id)
@workflow.save
else
flash[:notice] = 'Action not allowed'
end
end
并在浏览器中,在视图中创建的表单将呈现此表单。
<form action="/spree/admin/workorders/45/?workflow_id=141&name=workstep_name_w4&workstep_id=61" accept-charset="UTF-8" method="post">
</form>
现在,可以更改那些查询参数值的表格。尝试输入错误的值,我的后端崩溃了。如何解决这个问题?我能读懂的任何想法或文章吗?谢谢。
更新
在玩网络游戏时。我也在网络标签request payload
{spree_user: {email: "-----, password: "---"}}
spree_user: {email: "----", password: "----"}
所有内容均以纯文本显示。我刚刚将电子邮件和密码更改为----
如果具有技术背景的人可以很容易地发现这一点。
代码来自生产环境。我认为我们不在这里使用JWT。