主题 : 子站管理员可以随意提升权限
级别: 商业授权用户
UID: 69869
积分:181 加为好友
威望: 0 精华: 0
主题:26 回复:111
注册时间:2014-11-24
在线时长:0
1#   发表于:2015-04-13 12:33:47  IP:116.158.*.*
显示全部 只看该作者
子站点的管理员,只给了他用户管理(本站)的权限,但他却可以在用户管理(本站)的功能下随意选择是否只能管理自己的数据,以及随意选择自己的角色,会造成可任意提升权限的漏洞
使用道具
   顶端
级别: 版主
UID: 70293
积分:78391 加为好友
威望: 1 精华: 0
主题:7 回复:68397
注册时间:2014-12-03
在线时长:0
2#   发表于:2015-04-13 13:02:56  IP:182.236.*.*
显示全部 只看该作者
你是说可以给自己随意分配角色吗,然后提升自己的权限
1
使用道具
   顶端
级别: 总版主
UID: 10736
积分:149787 加为好友
威望: 212 精华: 42
主题:297 回复:127674
注册时间:2010-09-08
在线时长:90.1
3#   发表于:2015-04-13 14:02:21  IP:182.236.*.*
显示全部 只看该作者
子站的超管可以这么设置,子站的小的管理员就不要给他管理员管理、角色管理相关的功能这样设计管理用户权限会比较好点
路漫漫其修远兮,吾将上下而求索!
使用道具
   顶端
级别: 商业授权用户
UID: 69869
积分:181 加为好友
威望: 0 精华: 0
主题:26 回复:111
注册时间:2014-11-24
在线时长:0
4#   发表于:2015-04-13 15:02:56  IP:116.158.*.*
显示全部 只看该作者
但我说的是用户管理啊,如果用户管理也不给的话,那子站增加用户都得全站管理员来弄,不是很麻烦吗?
使用道具
   顶端
级别: 版主
UID: 70293
积分:78391 加为好友
威望: 1 精华: 0
主题:7 回复:68397
注册时间:2014-12-03
在线时长:0
5#   发表于:2015-04-13 15:05:03  IP:182.236.*.*
显示全部 只看该作者
好的,谢谢建议,这地方是不太安全。
1
使用道具
   顶端
1 共1页