Question

6.1.1 测试原理和方法

非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访

问到的页面或文本信息。可以尝试在登录某网站前台或后台之后，将相关的页面链接复制

到其他浏览器或其他电脑上进行访问，观察是否能访问成功。

6.1.2 测试过程

攻击者登录某应用访问需要通过认证的页面，切换浏览器再次访问此页面，成功访问

则存在未授权访问漏洞，如图 6-1 所示。

图 6-1 非授权访问测试流程图

以某网站交费充值为例。

步骤一：在 IE 浏览器中登录某网站进行交费，如图 6-2 所示。

图 6-2 成功缴费截图

步骤二：复制交费成功的 URL，在火狐浏览器里访问，成功访问，如图 6-3 所示。

图 6-3 再次访问成功截图

6.1.3 修复建议

未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷，导致其

他用户可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露，

所以对未授权访问页面做 Session 认证，并对用户访问的每一个 URL 做身份鉴别，正确地

校验用户 ID 及 Token 等。