[Bug]: 注销功能错误安全漏洞 #202
Description
Bug Description
漏洞目标地址:
https://himarket-admin.xxx.com/ https://higress.xxx.com/
Steps to Reproduce
存在问题描述:
此类漏洞指用户在点击注销登录或直接关闭WEB网站后,原会话ID未进行注销处理,攻击者利用原会话ID进行身份冒用。
Expected Behavior
整改意见:
1、黑名单机制 在用户注销时,将Token加入到黑名单中。每次请求时,检查Token是否在黑名单中,如果在黑名单中,则拒绝该请求。 实现步骤: 在用户注销时,将Token存储到Redis等缓存系统中,并设置过期时间。 在每次请求时,检查Token是否在黑名单中。如果在黑名单中,则返回Token失效的错误。 2、使用Refresh Token 结合Refresh Token机制,当用户注销时,同时使Refresh Token失效。 实现步骤: 用户注销时,删除或更新Refresh Token。 在每次请求时,检查Refresh Token是否有效。如果Refresh Token失效,则拒绝该请求
Actual Behavior
原会话ID未进行注销处理
Affected Component
Admin Console
Severity
Medium (Feature partially works)
Environment
吉利内部测试环境,基于himarket v0.5版本Logs and Error Messages
Screenshots
No response
Additional Context
No response
Checklist
- I have searched existing issues to avoid duplicates
- I have included all necessary information above
- I am using the latest version of HiMarket
- I can reproduce this issue consistently