🔥🔥🔥国内首个Spring Cloud微服务化RBAC的管理平台,核心采用Spring Boot 2.4、Spring Cloud 2020.0.0 & Alibaba,前端采用d2-admin中台框架。 🔝 🔝 记得上边点个star 关注更新
Geek Repo:Geek Repo
Github PK Tool:Github PK Tool
de4db1ff opened this issue 4 years ago · comments
开源版本存在严重的安全问题,微服务网关ace-gate的访问控制能被绕过,攻击者可获得签发jwt的私钥以任意用户身份登录。 希望能和作者邮件沟通下漏洞细节和修复方案。
可以提供下具体的私钥获取过程,我这边来Fix
dump出JVM堆内存
OQL查询 SELECT userPriKey FROM ".*KeyConfiguration.*"
SELECT userPriKey FROM ".*KeyConfiguration.*"
伪造jwt
spring boot actuator导出堆这个限制确实疏忽了,这个周末Fix后再验证看看。