laravel-admin越权访问漏洞改如何修复

Laravel-Admin 是一个开源的后台管理框架，它基于 Laravel 框架，提供了一套 CRUD 操作的界面。Laravel-Admin 越权漏洞是指攻击者可以通过构造特定的 URL，绕过权限验证，访问未授权的页面或进行未授权的操作。

修复 Laravel-Admin 越权漏洞，可以按照以下步骤进行：

1. 升级 Laravel-Admin 到最新版本。开发组在最新版中已经修复了该漏洞。

2. 如果无法升级到最新版本，可以手动修复漏洞。具体步骤如下：

- 打开项目中的 `app/Admin/routes.php` 文件，找到需要修复的路由。

- 在需要进行权限验证的路由前，加上如下代码：

     // 需要进行权限验证的路由
     $router->resource('users', 'UserController')->middleware('auth.admin');

上述代码中的 `middleware('auth.admin')` 表示该路由需要通过 `auth.admin` 中间件进行验证。

- 创建 `app/Http/Middleware/AuthenticateAdmin.php` 中间件。

     <?php
     
     namespace App\Http\Middleware;
     
     use Closure;
     use Illuminate\Support\Facades\Auth;
     
     class AuthenticateAdmin
     {
         public function handle($request, Closure $next)
         {
             if (Auth::guard('admin')->check()) {
                 return $next($request);
             }
             return redirect('/admin/auth/login');
         }
     }

上述代码中的 `Auth::guard('admin')->check()` 表示使用 `admin` guard 进行验证。

- 在 `app/Http/Kernel.php` 文件中注册中间件。

     protected $routeMiddleware = [
         // ...
         'auth.admin' => \App\Http\Middleware\AuthenticateAdmin::class,
     ];

上述代码中的 `auth.admin` 表示中间件的名字，`\App\Http\Middleware\AuthenticateAdmin::class` 表示中间件的类名。

通过以上步骤，就可以修复 Laravel-Admin 越权漏洞了。