Web站点越权访问情况及处理方式汇总

最新推荐文章于 2025-06-10 16:53:43 发布
原创 最新推荐文章于 2025-06-10 16:53:43 发布 · 1.1w 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Web越权访问 #越权访问处理方式汇总

本文探讨了Web站点常见的越权访问问题,包括未登录访问系统页面、用户访问无权限页面以及通过修改URL操控他人数据。针对这些问题,提出了过滤器session判断、单点登录、权限控制与验证、使用Token等解决方案,并指出了各种方法的优缺点和适用场景。旨在帮助开发者增强Web应用的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近安全测评,遇到Web站点越权访问的事情,平时开发都没太在意,现在通过项目测评才意识到问题的严重性;通过网上查询汇总梳理如下,供大家参考,主要有以下几种情况,分别对应不同的处理模式;文章描述主要针对Java语言,其他语言也应该类似。

1. 没有用户登录,就可以直接访问系统页面;
处理方式有两种:
a)系统页面不多,直接在Web站点过滤器filter中增加session判断,需要在登录后session记录登录账号信息;这种处理简单
b)子系统和站点页面比较多 ,这种一般就需要做单点登录;基于开源cas的单点登录是比较流行,这方面的资料大家可以网上查询非常多;
2. 用户登录成功,但对于没有权限的页面或action;也可以直接访问(浏览器直接输入或爬虫等工具)
一般业务系统都是按照功能模块授权,用户登录后能访问哪些功能页面都在数据库存储,登录后系统会返回显示,这是针对普通用户来说的安全;但如果是破坏的用户则抵挡不住直接访问action或页面url;
这种情况就是一般说的垂直权限攻击。其原理是由于Web应用没有做权限控制,或仅仅在菜单上做了权限控制,导致恶意用户只要猜测其他管理页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。
处理方式:
a)要求不严格的,只是禁止用户直接在浏览器里输入url或action地址访问的情况
在这里插入图片描述
在filter过滤器中增加判断,看请求的头里refer参数是否你的网站页面;
在这里插入图片描述
这里不解决用户自己构造cookie去模拟请求的情况;【高级测试用户或破解人】
b)要完全限制用户访问没有权限的ac

最低0.47元/天 解锁文章

200万优质内容无限畅学
Get Offer —— 渗透测试岗试题汇总Web相关知识点)
Boom!脑洞大爆炸的博客
07-21 6070
一篇文章了解Web知识点
Web安全漏洞】 用户越权问题
ly_6699的博客
01-20 2290
一、越权的定义 越权: 我们知道正常情况下,一个用户通常只能对自己的一些信息进行增删改查;但是如果项目的程序员写DDL时没有先判断需要操作的数据是否属于对应的用户的信息,或者该用户是否有权限对这个数据进行操作,就会导致这个用户的权限设置形同虚设,从而出现越权问题。 横向越权: 指攻击者尝试访问与他拥有相同权限的用户的资源。当用户A与用户B是同层级(相同权限)的用户,若用户A在发起请求时通过变更自己的uesrid为B用户的userid,就可以对B用户的数据进行操作,这是横向越权。即Web应用程序接收到用户请求
WEB安全之越权漏洞
架构师修炼道路
02-04 2683
title: WEB安全之越权漏洞。
Web安全之越权
yiyegugu的博客
09-28 1924
一、什么是越权 越权漏洞是一种很常见的逻辑安全漏洞,是由服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改想惯参数就可以拥有了其他账户的增删查改功能,从而导致越权漏洞, 目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权(垂直越权)操作。 水平越权是指相同全县辖不同的用户可以互相访问 垂直越权是指使用权限低的用户可以访问到权限较高的用户 逻辑安全漏洞=>验证码绕过、密码找回、越权、支付漏洞 水平平越权测试方法主要是看同权限用户能否操
渗透测试之越权漏洞详解 水平越权 垂直越权 目录越权 SQL跨库查询越权 一篇文章说明白!
最新发布
qq_41314882的博客
06-10 958
越权漏洞简介 越权(Unauthorized Access)是指用户在系统中执行超出权限范围的操作,访问未授权的数据或功能。主要分为水平越权(同级别用户间访问彼此数据)和垂直越权(低权限用户执行高权限操作)。漏洞成因包括权限验证不足、前端控制权限、参数可控性、业务逻辑缺陷和会话管理不当等。常见易发点包括基础参数修改、多阶段验证绕过、参数访问控制、隐藏链接发现等。修复建议是采用Session机制严格绑定用户身份与权限,避免仅依赖前端验证。实际案例中,攻击者可通过修改GET/POST参数、伪造Cookie、抓包
跨账号访问权限(Cross Account Access)
weixin_42230010的博客
03-14 816
很多AWS客户都会管理多个不同的AWS账号,比如之前提到的不同的开发环境、测试环境、生产环境等都各分配不同的账号。这样子他们可以对不同类型的账号赋予不同等级和类型的权限,可以在账号和权限的安全性上有更好的控制。那么一般情况下,一个开发者使用开发环境做了一些变更后希望登录到测试环境去做一些系统的测试,那么他必须注销他的账号,然后使用另外的用户名密码登录到测试账号。这样的复杂操作有时候对开发来说简直是个噩梦。有了。
web安全-越权攻击
weixin_43980083的博客
06-07 629
web安全-越权攻击
web安全--逻辑越权
weixin_45626840的博客
05-22 483
攻击访问控制 逻辑越权从技术上来说就是访问控制存在缺陷。以下攻击访问控制即为逻辑越权。 从客户端的请求,Web应用程序要做到以下两点识别: 核实用户身份 确认请求序列由该用户提出 基于这两点,web服务端决定是否允许某个请求执行特定的操作或访问它请求的资源。访问控制是个应用程序的重要防御机制,因为它负责做出这些关键决定。如果访问孔子存在缺陷,攻击者往往能够攻破整个应用程序,控制其管理功能并访问属于其他用户的敏感数据。 概念 访问控制漏洞:应用程序允许攻击者执行某种攻击者没有资格执行的操作 各种漏洞之间的
WEB应用漏洞及修复汇总
专注企业信息安全-sec
11-23 1848
仅供参考   1.SQL注入 风险等级:高危 漏洞描述: SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞。 漏洞危害: 机密数据被窃取; 核心业务数据被篡改; 网页被篡改; 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)...
(持续更新中)Web功能测试下的安全测试如何进行?
qq_22643187的博客
03-13 1426
想到安全测试很多功能测试人员都很难入手,以为都是专业的安全测试人员去做。比如经常碰到的任务:某某某测试下系统有哪些安全问题,而对于经历过长达五六年的 web 功能、性能、接口测试人员来说,面对该任务就一头雾水。面对任何测试对象,我们需要有对应的范围,然后才讲到各个范围的技术方法。以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。请看完我的文章描述,我相信可以助力你成为一个初级安全测试工程师!Q:安全测试测试什么啊?Q:安全测试策略如何编写?Q:安全测试如何执行?
红金羚库存管理系统(Web版)v3.98.zip
07-16
红金羚库存管理系统(Web版)是一套针对具有一定规模的中小企业的库存业务应用及管理而开发的,该系统基于Internet WEB的综合应用解决方案,一旦架构,客户端不需任何安装,只需一个浏览器,管理者能够轻松掌握库存...
横向越权与纵向越权区别
My_Way666的博客
10-15 3261
横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源 如何防止横向越权漏洞: 可通过建立用户和可操作资源的绑定关系,用户对任何资源进行操作时,通过该绑定关系确保该资源是属于该用户所有的。 对请求中的关键参数进行间接映射,避免使用原始关键参数名,比如使用索引1代替id值123等 如何防止纵向越权漏洞: 建议使用基于角色访问控制机制来防止纵向越权攻击,即预先定义不同的权限角色,为每个角色分配不同的权限,每个用户都属于特定的角色,
常见WEB开发安全漏洞 原因分析及解决
04-08
NULL 博文链接:https://leeqoo.iteye.com/blog/1584867
用户登录过滤相关页面,过滤URL越权访问
06-23
java 过滤器,用户登录过滤相关页面,过滤URL越权访问
web安全(5)-- 越权操作
热门推荐
TaneRoom的博客
11-18 2万+
越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​
WEB通用漏洞&水平垂直越权详解&业务逻辑&访问控制&脆弱验证
ranzi.
04-18 3102
水平越权——同级用户权限共享。垂直越权——低高用户权限共享。访问控制——验证丢失&取消验证。脆弱验证——Cookie&Token&Jwt。
web越权访问的处理(步骤详解)
赏樱看雪撸代码
07-04 1万+
用户越权访问的处理 一般来说,越权放问就好比你是非系统管理员用户,却偷偷的跑进了系统管理菜单,僭越权访问里面的信息甚至修改其中的数据(不同级别的越权又称垂直越权访问),因此对数据的安全性造成极大的威胁,是故每家企业都有其方法来保证企业内部数据的安全性,也就是解决越权访问的问题。 有关改业务处理主要考虑下面两个方面: url的越权访问和接口方法的越权访问 通过角色用户来判断是否越权访...
Web安全基础学习:权限控制漏洞之水平越权
qq_51862722的博客
06-18 1218
水平越权漏洞:指应用系统在处理同一功能业务时,未对数据和当前用户的权限进行合法性校验,导致用户可越权访问、篡改、删除、添加其他同权限用户的信息,造成越权操作。常见如:访问任意用户订单、修改任意用户密码、删除任意用户信息等。
Web安全基础学习:权限控制漏洞之垂直越权
qq_51862722的博客
06-18 909
垂直越权漏洞:指应用系统在处理各个角色业务功能时,并未对当前用户角色与该业务功能的权限标志进行判断,导致用户可越权访问非自身权限范围内的业务功能,造成越权操作。常见如:越权添加、修改、删除用户以及权限、越权访问系统管理功能等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值