问题详情
-
类型:
缺陷
-
状态: 开始 (查看工作流)
-
优先级:
重要
-
解决结果: 未解决
-
影响版本: v1.0.20250110_release
-
解决版本: v1.0.2025待定_release
-
模块: 接口服务
-
标签:无 编辑标签
-
项目环境:SIT
描述
1、垂直越权,检测api和system接口是否存在垂直越权问题,访问权限绑定到方法级
2、水平越权,检测所有接口涉及用户工号(可能是工号或手机号)查询数据的情况,要使用token关联的用户工号查询不能使用业务参数内的工号,避免数据被篡改导致访问到非当前会话用户的数据