這里說的管理后臺(tái)主要是指供企業(yè)內(nèi)部用戶使用的ToB類的系統(tǒng)，如OA、人力資源管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、ERP系統(tǒng)等。長(zhǎng)期以來，管理后臺(tái)功能臃腫，不受重視，功能由不同的團(tuán)隊(duì)開發(fā)、使用第三方組件甚至直接是購(gòu)買的第三方公司開發(fā)的系統(tǒng)。各種原因疊加之下導(dǎo)致它常常成為系統(tǒng)漏洞的高發(fā)區(qū)。拿JAVA來說，早期的管理后臺(tái)大多由Java + JSP開發(fā)，新的技術(shù)棧則主要使用前后端分離的方式，前端使用如VUE等前端框架，后端則主要提供Rest接口的方式與前端交互。前后端分離后對(duì)管理后臺(tái)的權(quán)限管理方式也產(chǎn)生了較大的影響。

權(quán)限問題

一個(gè)功能完整的管理后臺(tái)通常都會(huì)有菜單、按鈕的權(quán)限管理，對(duì)某個(gè)角色或用戶，可以控制菜單或按鈕的顯示和隱藏。這些只是用戶可見的部分，稍有經(jīng)驗(yàn)的技術(shù)人員會(huì)直接在地址欄輸入U(xiǎn)RL的方式來繞過表面的限制。比如正常情況下A只能訪問URLA，B只能訪問URLB，A只需要猜測(cè)得到URLB直接輸入地址就進(jìn)入了他不該有權(quán)限看到的頁(yè)面。如果管理后臺(tái)是前后端分離的，而且URL又是純前端地址，那這種方式是防不住的，只能做好接口權(quán)限。

接口權(quán)限，是限制用戶只能調(diào)用有權(quán)限的接口。這樣可以有效避免非法的訪問和調(diào)用，保護(hù)系統(tǒng)接口數(shù)據(jù)安全。要做到接口權(quán)限安全，通常會(huì)在每個(gè)接口調(diào)用時(shí)增加權(quán)限判斷，有經(jīng)驗(yàn)的程序員或使用注解或使用AOP配置的方式簡(jiǎn)化編碼，但還是比較麻煩。如果接口沒做權(quán)限控制或者只限制了登錄的用戶就有權(quán)限訪問該接口，那普通用戶只需要用猜測(cè)等方法得到了敏感接口地址，就能調(diào)用管理員才能調(diào)用的接口。

比接口權(quán)限更麻煩的是數(shù)據(jù)權(quán)限，數(shù)據(jù)權(quán)限是將行級(jí)數(shù)據(jù)權(quán)限和用戶或角色進(jìn)行綁定，限制用戶只能訪問和操作自己管轄范圍內(nèi)的數(shù)據(jù)。用戶A對(duì)接口B有訪問權(quán)限，不代理用戶A對(duì)接口B能返回的所有數(shù)據(jù)都有權(quán)限，所以也可以說數(shù)據(jù)權(quán)限是更細(xì)粒度的接口權(quán)限。但是一般不能通過增加多個(gè)接口的方式來實(shí)現(xiàn)數(shù)據(jù)權(quán)限，因?yàn)榻巧蛴脩籼嗔?。?shù)據(jù)權(quán)限需要在建模時(shí)就提前設(shè)計(jì)，會(huì)通過增加列的方式標(biāo)識(shí)能訪問該行數(shù)據(jù)的權(quán)限級(jí)別。如果系統(tǒng)沒做好數(shù)據(jù)權(quán)限，對(duì)攻擊者來說最簡(jiǎn)單的利用方式就是把接口的入?yún)⒏牧?。比如某用戶具有組織架構(gòu)管理的權(quán)限能看到廣州分公司的組織架構(gòu)，該功能調(diào)用的接口是：http://moext.com/org.jsp?root=020，他只需要改成http://moext.com/org.jsp?root=1（假設(shè)1是根組織），那就能看到全國(guó)的組織架構(gòu)了。

另外一個(gè)權(quán)限問題高發(fā)區(qū)是“我的資料“功能，通常來說“我的資料“只需要從session中取用戶，再按用戶查詢信息即可。但有些缺乏經(jīng)驗(yàn)的程序員估計(jì)是為了復(fù)用用戶管理查看用戶信息的功能，把用戶ID暴露給前端，由前端傳用戶ID過來查我的信息。據(jù)說早些年就有某公司程序員在公司的OA上利用這個(gè)漏洞拿到了整個(gè)公司員工的私密信息。

富文本編輯器

富文本編輯器可以允許用戶使用不同的字體、顏色、大小和其他格式來編輯文本，同時(shí)還可以插入圖片、視頻等多種媒體類型，功能非常豐富。但是，正是由于功能豐富，我們無法像防XSS攻擊一樣過濾特殊字符，而且這些編輯器的附件上傳功能通常是固化的，我們沒辦法做過多的限制。所以富文本編輯是XSS漏洞和文件上傳漏洞的高發(fā)區(qū)。

功能豐富的查詢條件

同樣實(shí)現(xiàn)多查詢條件下的X功能管理列表，在編碼使用SQL拼接條件比用預(yù)編譯占位的方式要方便太多了，但是前者雖然方便簡(jiǎn)單了但又引入了SQL注入漏洞。筆者甚至見過某知名的OA系統(tǒng)，它的工作流管理功能非常強(qiáng)大，但分析后發(fā)現(xiàn)管理員在前端加個(gè)審批節(jié)點(diǎn)后端是通過DDL建個(gè)臨時(shí)表的方式實(shí)現(xiàn)的。攻擊者可以輕松地修改表結(jié)構(gòu)、刪除數(shù)據(jù)等。這種既存在SQL注入漏洞又具有DDL權(quán)限的系統(tǒng)在一些舊的OA、ERP、人力資源管理系統(tǒng)上也不在少數(shù)。