AJ-Report是全开源的一个BI平台。在其1.4.0版本及以前,存在一处认证绕过漏洞,攻击者利用该漏洞可以绕过权限校验并执行任意代码。 漏洞复现 漏洞环境 vulhub 执行如下命令启动一个AJ-Report 1.4.0服务器: docker compose up -d 服务启动后,你可以在http://your-ip:9095查看到登录页面。 poc POST /dataSetParam/...
\vulhub\CNVD-2024-15077\aj-report-1.4.0.RELEASE\lib\aj-report-1.4.0.RELEASE.jar 添加库,就可以看到代码并进行调试了。 路由# 标准的springboot项目,路由直接是/dataSetParam/verification 认证绕过# 既然是认证绕过,找到与认证/授权相关的代码,代码审计第二步,看鉴权。 Filter \aj-report-1.4.0.RELEASE\lib...
token的时效是1小时,如果远程一小时内没有admin 但是看到这里出现了转机,接下来会校验shareToken,如果reportCodeList.stream.noneMatch(uri::contains),也就是说uri包含reportCode的话就返回false。而shareToken是从Share-Token请求头取的。 List<String>reportCodeList=JwtUtil.getReportCodeList(shareToken); if(!uri...
在线体验:https://ajreport.beliefteam.cn/index.html 体验账号:guest 密码:guest 在线文档:https://ajreport.beliefteam.cn/report-doc/ 模板下载:https://ajreport.beliefteam.cn/download 在线提问:https://gitee.com/anji-plus/report/issues 发行版本 下载链接:https://gitee.com/anji...
大屏可视化—DataEase、AJ-report、Superset调研对比 dataease、AJ-report大屏可视化工具对比 二、AJ-Report优点 接下来回到AJ-report,来看一下AJ-report有哪些优点,当然这也是我个人认为学习新技术比较重要的一点,官网的东西一般是最全的,并且比较有权威。
CellReport 支持使用集合函数来组织数据,使报表制作和维护更为便捷。 CellReport 示例 AJ-report AJ-Report获取 AJ-Report是全开源的一个BI平台,主要宣传点是酷炫的展示大屏。有如下特点: 多数据源支持,内置mysql、elasticsearch、kudu驱动,支持自定义数据集省去数据接口开发 ...
--env MINIO_SKIP_CLIENT="yes" bitnami/minio:latest 5.登录创建桶 http://xxx.xxx.xxx.xxx:9000/loginroot password 创建桶aj-report 四、安装mysql5.7 五、启动 1.修改配置文件mysql和minio配置 cd conf ==> vi bootstrap.yml 2.启动 cd bin ==> sh start.sh...
aj-report 公式 AJ-Report是一个开源的BI平台,其功能和公式会随着版本和应用的更新而有所不同。目前已知AJ-Report具有以下特性: 1. 支持多数据源配置,包括mysql、elasticsearch、kudu等。 2. 支持自定义数据集,省去数据接口开发。 3. 具备丰富的大屏组件,可以拖拽配置大屏。 4. 提供大屏分享功能,大屏图表动态...
综上所述,iReport、AJ-report、FineReport、raydata report、CellReport、datart都是比较流行的报表工具。用户在选择报表工具时需要根据自身的需求来选择,比如数据源、输出格式、报表元素、界面美观程度等方面。同时,用户也需要考虑报表工具的价格、文档、支持等方面。
Request failed with status code 502 Request failed with status code 502