weizhiqiang1995 / skyeye Goto Github PK

org.springframework.context.support.AbstractApplicationContext.refresh(558) | Exception encountered during context initialization - cancelling refresh attempt: org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'authorizationCode': Unsatisfied dependency expressed through field 'authDao'; nested exception is org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualifying bean of type 'com.skyeye.dao.AuthDao' available: expected at least 1 bean which qualifies as autowire candidate. Dependency annotations: {@org.springframework.beans.factory.annotation.Autowired(required=true)}

在如上代码地方，未对用户输入内容过滤，可以通过../../../../实现路径穿越，从而在任意位置写入文件

测试单位：山东大学网络空间安全学院

您好：我fork了您的工程，本地运行，登录时缺少erp_tenant这张表。能否在docs中更新下？

此处代码对于scheduleTitle直接进行了.val()获取值，而不是将其直接使用html进行转义，存在XSS漏洞
故可以在输入日程title的地方轻易构造xss

推荐防御：使用htmlspecialchars()函数将特殊字符转换为HTML实体

测试单位：山东大学网络空间安全学院

controller

service code

The problem code。Get the filename and extension from the front end