1. 没有用户登录,就可以直接访问系统页面;
处理方式有两种:
a)系统页面不多,直接在Web站点过滤器filter中增加session判断,需要在登录后session记录登录账号信息;这种处理简单
b)子系统和站点页面比较多 ,这种一般就需要做单点登录;基于开源cas的单点登录是比较流行,这方面的资料大家可以网上查询非常多;
2. 用户登录成功,但对于没有权限的页面或action;也可以直接访问(浏览器直接输入或爬虫等工具)
一般业务系统都是按照功能模块授权,用户登录后能访问哪些功能页面都在数据库存储,登录后系统会返回显示,这是针对普通用户来说的安全;但如果是破坏的用户则抵挡不住直接访问action或页面url;
这种情况就是一般说的垂直权限攻击。其原理是由于Web应用没有做权限控制,或仅仅在菜单上做了权限控制,导致恶意用户只要猜测其他管理页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。
处理方式:
a)要求不严格的,只是禁止用户直接在浏览器里输入url或action地址访问的情况
b)要完全限制用户访问没有权限的action
对于此种有三种解决办法
一种是为所有的action进行授权,用户在访问action时进行权限判断;此种后期运维人员工作量耗大,实际操作性差。
再一种是将action与功能模块关联,建立一张关联表;功能模块是进行过授权的,底层在访问action时增加判断,看该action关联的功能模块对应当前登录用户是否有权限。;为了提高效率适当进行权限缓存。
最后一种是在页面中添加Token防止越权访问,这种前端页面必须都是jsp页面,访问页面时前端和服务端生成统一的token令牌;jsp提交到后台时判断令牌是否一致;但这种方法的缺点是测试用户也可以进行令牌模拟,还不能从根本解决。
3. 对于url中传输userid的情况,可以串改userid达到数据操作
这种情况就是水平权限攻击,也叫作访问控制攻击。Web应用程序接收到用户请求,修改某条数据时,没有判断数据的所属人,或者在判断数据所属人时从用户提交的表单参数中获取了userid。导致攻击者可以自行修改userid修改不属于自己的数据。所有的更新语句操作,都可能产生这个漏洞。
处理方式主要是userid都要从session获取,不要靠参数传递。