Web站点越权访问情况及处理方式汇总

最近安全测评，遇到Web站点越权访问的事情，平时开发都没太在意，现在通过项目测评才意识到问题的严重性；通过网上查询汇总梳理如下，供大家参考，主要有以下几种情况，分别对应不同的处理模式；文章描述主要针对Java语言，其他语言也应该类似。

1. 没有用户登录，就可以直接访问系统页面；
处理方式有两种：
a)系统页面不多，直接在Web站点过滤器filter中增加session判断，需要在登录后session记录登录账号信息；这种处理简单
b)子系统和站点页面比较多 ，这种一般就需要做单点登录；基于开源cas的单点登录是比较流行，这方面的资料大家可以网上查询非常多；
2. 用户登录成功，但对于没有权限的页面或action；也可以直接访问（浏览器直接输入或爬虫等工具）
一般业务系统都是按照功能模块授权，用户登录后能访问哪些功能页面都在数据库存储，登录后系统会返回显示，这是针对普通用户来说的安全；但如果是破坏的用户则抵挡不住直接访问action或页面url；
这种情况就是一般说的垂直权限攻击。其原理是由于Web应用没有做权限控制，或仅仅在菜单上做了权限控制，导致恶意用户只要猜测其他管理页面的URL，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。
处理方式：
a)要求不严格的，只是禁止用户直接在浏览器里输入url或action地址访问的情况