网站安装代码/优化模型数学建模

前言

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业使用。
YAPI项目使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务。其中mock数据通过设定固定数据返回固定内容，对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容，本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令过滤，用户可以添加任何请求处理脚本，因此可以在脚本中植入命令，等用户访问接口发起请求时触发命令执行。

漏洞复现

app=“yapi”