关于越权访问访问的问题,请指教

sheen7758 2008-07-08 05:44:24

1: 以超管 admin 省份登陆某系统;

2: 找到一个只有超管才有的功能的链接,比如说:"http://localhost/mywebappname/userManage/userList.do" , 显示出所有的user,并复制此链接.

3. 以普通用户登陆进系统,在地址栏输入: userManage/userList.do ,就造成了,普通用户的越权访问.


请问:有什么方法可以解决这个大问题吗?
...全文
450 9 打赏 收藏 转发到动态 举报
写回复
用AI写文章
9 条回复
切换为时间正序
请发表友善的回复…
发表回复
sheen7758 2008-07-09
  • 打赏
  • 举报
 回复
结贴!
sheen7758 2008-07-09
  • 打赏
  • 举报
 回复
ps:



        if (!isFreePage(requestURI)) { // 如果是保护页面



            /* 我自己的验证方法 begin*/

            ManagerPopedomMenuDao mpm = new ManagerPopedomMenuDao(httpRequest

                    .getSession());



            isHaveThePopedom = mpm.txnIsHaveThePopedom(httpRequest);

          /* 我自己的验证方法 end*/



            if (!isHaveThePopedom) {

                String toPageURL = null;

                try {

                    toPageURL = httpRequest.getContextPath() + toPage;

                    httpResponse.encodeRedirectURL(toPageURL);

                    httpResponse.sendRedirect(toPageURL); // 转发响应

                } catch (IOException ex) {

                    ex.printStackTrace();

                }

            }



        }
sheen7758 2008-07-09
  • 打赏
  • 举报
 回复
谢谢 两位楼上.

终于搞定了.

贴出来分享:

/*==============================web.xml============================================*/



	<filter>

		<filter-name>unimpowerAccess</filter-name>

		<filter-class>

			com.family.renguanghui.filter.UnimpowerAccessFilter

		</filter-class>

		<init-param>

			<param-name>freePages</param-name>

			<param-value>/bdmobile/;/login.jsp;/managerLoginAction.do;/unimpower.jsp;/sysError.jsp</param-value>

		</init-param>

		<init-param>

			<param-name>toPage</param-name>

			<param-value>/unimpower.jsp</param-value>

		</init-param>

	</filter>

	<filter-mapping>

		<filter-name>unimpowerAccess</filter-name>

		<url-pattern>*.do</url-pattern>

	</filter-mapping>



	<filter-mapping>

		<filter-name>unimpowerAccess</filter-name>

		<url-pattern>*.jsp</url-pattern>

	</filter-mapping>


/*==============================UnimpowerAccessFilter.java============================================*/


package com.family.renguanghui.filter;



import java.io.IOException;

import java.util.StringTokenizer;



import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;



import com.hebslsy.bdmobile.manager.ManagerPopedomMenuDao;



@SuppressWarnings("serial")

public class UnimpowerAccessFilter extends HttpServlet implements Filter {

	private FilterConfig filterConfig;



	private String[] freePagesAyyay;



	private String toPage = null;



	public FilterConfig getFilterConfig() {

		return this.filterConfig;

	}



	public void setFilterConfig(FilterConfig filterConfig) {

		this.filterConfig = filterConfig;

	}



	// 父类的方法

	public void destroy() {



	}



	/**

	 * 初始化filter(这里重写父类的方法)

	 * 

	 * @param filterConfig

	 *            FilterConfig filter配置对象

	 * @throws ServletException

	 */

	public void init(FilterConfig filterConfig) throws ServletException {

		int i = 0;

		String freePages = null;

		StringTokenizer strTokenizer = null;



		setFilterConfig(filterConfig);



		// 以下从配置文件获取配置信息

		this.toPage = filterConfig.getInitParameter("toPage");



		freePages = filterConfig.getInitParameter("freePages");



		strTokenizer = new StringTokenizer(freePages, ";");

		this.freePagesAyyay = new String[strTokenizer.countTokens()];



		while (strTokenizer.hasMoreTokens()) {

			freePagesAyyay[i++] = strTokenizer.nextToken();

		}

	}



	/**

	 * 过滤动作

	 * 

	 * @param request

	 *            ServletRequest 请求对象

	 * @param response

	 *            ServletResponse 响应对象

	 * @param filterChain

	 *            FilterChain 过滤器链对象

	 */

	public void doFilter(ServletRequest request, ServletResponse response,

			FilterChain filterChain) {

		String requestURI = null;

		HttpServletRequest httpRequest = (HttpServletRequest) request;

		HttpServletResponse httpResponse = (HttpServletResponse) response;

		requestURI = httpRequest.getRequestURI();



		boolean isHaveThePopedom = false;



		if (!requestURI.endsWith("/")) {

			int charIndex = requestURI.lastIndexOf('/');

			requestURI = requestURI.substring(charIndex);

		}



		if (!isFreePage(requestURI)) { // 如果是保护页面



			ManagerPopedomMenuDao mpm = new ManagerPopedomMenuDao(httpRequest

					.getSession());



			isHaveThePopedom = mpm.txnIsHaveThePopedom(httpRequest);



			if (!isHaveThePopedom) {

				String toPageURL = null;

				try {

					toPageURL = httpRequest.getContextPath() + toPage;

					httpResponse.encodeRedirectURL(toPageURL);

					httpResponse.sendRedirect(toPageURL); // 转发响应

				} catch (IOException ex) {

					ex.printStackTrace();

				}

			}



		}



		if (!httpResponse.isCommitted()) { // 如果响应未提交,交给过滤器链

			try {

				filterChain.doFilter(request, response);

			} catch (ServletException sx) {

				filterConfig.getServletContext().log(sx.getMessage());

			} catch (IOException iox) {

				filterConfig.getServletContext().log(iox.getMessage());

			}

		}



	}



	/**

	 * 判断一个请求URI是否是不过滤的页面

	 * 

	 * @param requestURI

	 *            String 请求URI

	 * @return boolean 返回true为不过滤页面

	 */

	private boolean isFreePage(String requestURI) {

		boolean isFree = false;



		for (int i = 0; i < freePagesAyyay.length; i++) {

			if (requestURI.endsWith(freePagesAyyay[i])) {

				return true;

			}

		}

		return isFree;

	}



}


chch87 2008-07-08
  • 打赏
  • 举报
 回复
这样就可以免除重复代码了
网上例子不少,随便搜搜就可以了
chch87 2008-07-08
  • 打赏
  • 举报
 回复
用过滤器,再配合session就像楼上说的。
my145794 2008-07-08
  • 打赏
  • 举报
 回复
这个简单
登陆时将用户名存入session
session.setAttribute("username",username);

在相关页面判断
if((String)session.getAttribute("username")!=admin){
(response.sendRedirect("XXX.jsp")};
sheen7758 2008-07-08
  • 打赏
  • 举报
 回复
[Quote=引用 2 楼 KK3K2005 的回复:]
userList.do 就不能验证访问者身份?
不能验证的话 还要登陆干什么?
[/Quote]

如果功能很多的话,每次进入一个action里都得重复调用 同一个验证方法.

有点啰嗦....

不知道有没有什么别的好的方法.
KK3K2005 2008-07-08
  • 打赏
  • 举报
 回复
userList.do 就不能验证访问者身份?
不能验证的话 还要登陆干什么?
越权——漏洞操作记录<掌控安全>
越权漏洞越权分为两种:一种为水平越权,一种为垂直越权。 水平越权:指同权限之间能相互修改或查看对方的资料(比如:同为用户 用户A可以查看用户B的资料) 垂直越权:指低权限用户能够修改或查看高权限用户的资料(比如:用户组A能够拥有管理组B的权限) 进入靶场 http://117.41.229.122:8002 此处提供注册(不能提供注册的利用信息收集) 先注册两个账号用户1:twalone用户2: twalone1 先进行两个号的水平越权 使用BurpSui...
java鉴权_3种常用鉴权方法原理与实现
学生一枚,作为学习和总结。如果有哪些不对的地方,还指教cookie诞生HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。为解决这个问题,有了cookie出现cookie介绍Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),(通知浏览器设置一下cookie),浏览器自动会将Cookie以进行保存(以key/value...
PHP开源程序中常见的后台绕过方法总结
说明 最近审计了几个开源的PHP源程序,发现都存在后台程序绕过的问题,而且绕过的方式均不相同,写篇总结一下。初步地将绕过方式分为了三个层次: 1. 后台缺乏验证代码 2. 后台验证代码不严谨 3. 变量覆盖漏洞导致后台验证失效 以下就几个我审计过的PHP源程序进行说明。 后台缺乏验证 比如在axublog 1.0.2中后台存在一个验证管理员登录的函数chkadcookie()。但是在后台的ad/art.php中并没有chkadcookie(),因而就造成了越权访问。 这种漏洞的原理也比较简单,一般
手机APP版本回退
起因: 最近各种手机APP软件侵犯用户隐私或者越权访问的新闻,引起社会关注。各APP产品也相继进行整改,产品升级后大都有了一些改变。但整改带来的用户体验有时候也差强人意,所以,偶尔也可能会出现想要使用旧版软件的场景。 解决过程: 手机应用商店和官网上一般只有APP的最新版本。网上有人说可以在手机助手上(例如360手机助手)搜索软件名称,可以获取到历史版本。但我是没有找到想要的。然后在网上根据软件名称和版本号(要知道自己想要装哪个版本的,或者根据现有版本反推尝试)寻找对应的安装包。 下载之后,安装之前
SpringBoot+shiro+redis 一个账户只允许一处登录,强制用户下线
SpringBoot+shiro+redis 一个账户只允许一处登录,强制用户下线 概况 前期引入了redis来解决session共享,但并么有限制一个账户多人同时在线,且shiro本身没有带这个控制功能。在网上找了其他人的思路,但效果都有点不太好,于是自己写一下自己的项目实战。(第一次分享,希望各位大神多多指教)。 于是乎,利用redis 来记录一个用户的sessionID,如果一个用户存在多个sessionId,则获取队列末尾的sessionId,用sessionId查询对应的session,给sess
Web 开发

81,114

社区成员

341,728

社区内容

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章