上篇文章就丢了几个demo。太不认真了。这次认真讲一下其实SDL的大部分漏洞在常规的黑白灰扫描器的逼近之下基本灭亡,仅存一个逻辑漏洞。逻辑漏洞里越权是最常见的,大家的常见方法也就是拿到流量去遍历里面可以遍历的一些内容,比如id,这种number是最容修改 然后就查看到别人的信息的。这里我就拿一个简单的demo来描述下一般以阿里为例的微服务公司如何做到代码上检测越权漏洞:首先是一个微服务的基本逻辑:@RequestMapping(value = "/testRequest",method = RequestMethod.GET)public ModelAndView selectUser(int id) throws IoException(Long userId = Long.parseLong(string.valueOf(id));User user = this.userService.selectUser(userId); //漏洞产生ModelAndView mv = new ModelAndView() ;//返回视图string name = user.getUsername();String email = user.getEmail();mv.addobject("name", name);mv.addobject("email",email);return mv;把这个接口
………………………………
