未授权访问漏洞测试方法及修复方案

1、漏洞描述
未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,不需要输入密码,即可通过输入网站控制台主页面地址或者不允许查看的连接便可进行访问,同时进行操作。
2、漏洞检测
通过抓包工具(burpsuite、fiddler等),将抓取到的功能链接,在其他浏览器进行打开。
3、修复方案:
加入用户身份认证机制或token验证,对系统的功能点增加权限控制。
<1> 采用Java过滤器技术,对/pages下所有的URL进行登录状态检查,通过session.getAttribute()方法从session中获取登录成功时存入的session中的身份标识,判断客户端传递过来的身份标识是否与session中保存的一致,不一致则跳转到登录页面,关键代码如下:

//从session里取的用户名信息
String username = (String) session.getAttribute("userID");
//getAttribute中变量根据实际变量传入。
//判断如果没有取到用户信息,就跳转到登陆页面
if ((username == null) || "".equals(username)) {
//跳转到登陆页面
res.sendRedirect("http://" + req.getHeader("Host") +"/login_oa.jsp");} 
else {
//已经登陆,继续此次请求
chain.doFilter(req, res); }}

<2> 进行权限判断,以下代码为过滤器程序,通过会话获取用户身份信息,进行权限判断等操作

//在配置文件中设置过滤器

SessionFilter 
com.nsfocus.frame.filter.SessionFilter


SessionFilter
/pages/*


----------------------------------------------------------------------------------------------
//后台过滤程序
public void doFilter(ServletRequest request, 
ServletResponse response,FilterChain chain) throws 
IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
HttpSession session = req.getSession(true);
//从session里取的用户名信息
String username = (String) session.getAttribute("userID");
//getAttribute中变量根据实际变量传入。
//判断如果没有取到用户信息,就跳转到登陆页面 
if ((username == null) || "".equals(username)) {
//跳转到登陆页面
res.sendRedirect("http://" + req.getHeader("Host") +"/login_oa.jsp");} 
else {
//已经登陆,继续此次请求
chain.doFilter(req, res);      }   }
public void destroy() {   }
}

你可能感兴趣的:(web安全测试)