XXL-JOB 越权漏洞分析

漏洞简介

XXL-JOB是一个分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线，开箱即用。 这次介绍的漏洞属于水平越权漏洞，简单来说就是，一个没有任何任务管理权限的用户，只要登录了系统后，就能构造请求来操作其他人的任务。
受影响的接口包括：

[img=720,212.4]https://www.yijinglab.com/headImg.action?news=4c6ea7ab-4c47-4ee7-8cba-06a21dbc60aa.jpg[/img]

XXL-JOB 的权限控制分两层：

• 全局拦截器：通过 PermissionInterceptor 检查用户是否登录
  
• 方法级注解：通过 @PermissionLimit 注解控制是否需要管理员权限
  

问题出现于：在接口处既没有加 @PermissionLimit 注解要求管理员权限，方法内部也没有校验用户对具体任务的操作权限。
漏洞验证&分析

管理员登录后台并创建一个无任何权限的普通用户

[img=720,280.2857142857143]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/07a81d59-8e04-4e6b-917a-be1cb4a39c88.png[/img]

根据日志id 越权停止启动进程 logKill

根据 https://developer.aliyun.com/article/1649153?spm=a2c6h.24874632.expert-profile.57.1c5939ad7RZU4e 创建一个 XXL-JOB 执行器，属于正常业务功能
为了方便展示效果我们配置一个 jobTest1Handler
[code]@XxlJob("jobTest1Handler")    public void jobTest1Handler() {        try {            System.out.println("jobTest1Handler 开始执行 - " + new Date());​            for (int i = 1; i ></strong></p>  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

不错，里面软件多更新就更好了

不错，里面软件多更新就更好了

感谢分享

分享、互助 让互联网精神温暖你我

前排留名，哈哈哈

感谢分享，下载保存了，貌似很强大

新版吗？好像是停更了吧。