点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)你好专家组, 在解码Cryst...
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)你好专家组, 在解码Cryst...
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
你好专家组,
在解码Crystal报表的 HTTP网络请求以进行安全审核时,我们遇到了非常严重的威胁和Crystal报表中的漏洞 如果未尽早解决,我们会认为非常危险。
本文是继续复制问题的步骤: Crystal Reports中的安全威胁/破坏
开发环境:
症状:
,如果您正在开发敏感数据应用程序,则可能需要使数据库结构和业务逻辑免受最终用户的侵害。
Crystal Report提供了用于指定允许导出的格式的选项,因此许多Application Developer宁愿不要让导出格式(如Crystal Reports和XML)包含数据库结构和业务逻辑。 尽管Crystal Report中还有其他利用漏洞可以下载Crystal Report格式,但使系统面临更大风险。
Crystal Report不应导出"允许格式"中指定的格式以外的其他格式。
复制步骤:
专家,如果您能够复制并视为威胁,请至少发表您的评论。
临时解决方案:尽管我们等待Crystal Report Experts团队解决此错误,但是您可以基于服务器端的"查询字符串参数"手动限制导出请求。
有关Crystal Report中更多的威胁和漏洞利用,请参阅以下问题: Crystal Reports中的安全威胁/破坏
代码:
Web.Config: =========== <?xml version =" 1.0"?> <!- 有关如何配置ASP.NET应用程序的更多信息,请访问 http://go.microsoft.com/fwlink/?LinkId=169433 -> <配置>ReportViewer.aspx =================== <%@页面语言=" C#" AutoEventWireup =" true" CodeFile =" ReportViewer.aspx.cs" Inherits =" ReportViewer"%> <%@注册TagPrefix =" CR"命名空间=" CrystalDecisions.Web" Assembly =" CrystalDecisions.Web"%> <!DOCTYPE html> <组件> 组装> <身体>