shiro最新版本 1.6.0登录bug修复

最新推荐文章于 2024-04-19 01:50:36 发布
最新推荐文章于 2024-04-19 01:50:36 发布
阅读量1.3k 收藏 1
点赞数 2
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67391120/article/details/124022469
版权

2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。但实际升级后,使用中发现第一次打开浏览器访问时会出现Invalid request。具体错误提示如下:

降级到1.4.2时是可以正常登录的,反复试验几次,确定是升级shiro版本引起,阅读shiro 1.6.0源码,发现shiro引入了InvalidRequestFilter过滤器,目的是验证url上是否有恶意伪造的特殊字符。但这个类也正好将登录url拼接的

;jsessionId=xxx

也一起拦截了,结果就出现了上图中的错误提示。

InvalidRequestFilter的containsSemicolon()方法对url上的特殊符号“;”进行了拦截处理,但不知为何没有考虑到登录时拼接的jsessionId。

找到了问题点,解决起来就很简单,那就是改造containsSemicolon方法,对登录的url进行特殊处理放行。这里告诉大家个小秘密,那就是怎么修改别人jar包里面的代码。只需在自己项目的源码里面创建一个相同的class(包路径类名都必须相同)就可以了,然后将源代码全部复制粘贴过来,接下来就是修改源码。修改后的源码如下,大家可以直接复制使用。

/*
 * Licensed to the Apache Software Foundation (ASF) under one
 * or more contributor license agreements.  See the NOTICE file
 * distributed with this work for additional information
 * regarding copyright ownership.  The ASF licenses this file
 * to you under the Apache License, Version 2.0 (the
 * "License"); you may not use this file except in compliance
 * with the License.  You may obtain a copy of the License at
 *
 *     http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing,
 * software distributed under the License is distributed on an
 * "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY
 * KIND, either express or implied.  See the License for the
 * specific language governing permissions and limitations
 * under the License.
 */

package org.apache.shiro.web.filter;

import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;

/**
 * A request filter that blocks malicious requests. Invalid request will respond with a 400 response code.
 * <p>
 * This filter checks and blocks the request if the following characters are found in the request URI:
 * <ul>
 *     <li>Semicolon - can be disabled by setting {@code blockSemicolon = false}</li>
 *     <li>Backslash - can be disabled by setting {@code blockBackslash = false}</li>
 *     <li>Non-ASCII characters - can be disabled by setting {@code blockNonAscii = false}, the ability to disable this check will be removed in future version.</li>
 * </ul>
 *
 * @see <a href="https://docs.spring.io/spring-security/site/docs/current/api/org/springframework/security/web/firewall/StrictHttpFirewall.html">This class was inspired by Spring Security StrictHttpFirewall</a>
 * @since 1.6
 */
public class InvalidRequestFilter extends AccessControlFilter {

    private static final List<String> SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));

    private static final List<String> BACKSLASH = Collections.unmodifiableList(Arrays.asList("\", "%5c", "%5C"));

    private boolean blockSemicolon = true;

    private boolean blockBackslash = true;

    private boolean blockNonAscii = true;

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        String uri = WebUtils.toHttp(request).getRequestURI();
        return !containsSemicolon(request,uri)
            && !containsBackslash(uri)
            && !containsNonAsciiCharacters(uri);
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    	String uri = WebUtils.toHttp(request).getRequestURI();
        WebUtils.toHttp(response).sendError(400, "Invalid request");
        return false;
    }

    private String ctx=null;
    private boolean containsSemicolon(ServletRequest request,String uri) {
        if (isBlockSemicolon()) {
        	if(ctx == null) {
        		ctx = WebUtils.toHttp(request).getContextPath();
        	}
        	// 登录url拼接的jsessionId进行放行
        	if(uri.startsWith(ctx + this.getLoginUrl() + ";jsessionid=") || 
        			uri.startsWith(ctx + this.getLoginUrl() + "%3bjsessionid=") || 
        			uri.startsWith(ctx + this.getLoginUrl() + "%3Bjsessionid=")) {
        		return false;
        	}
        	boolean value = SEMICOLON.stream().anyMatch(uri::contains);
        	return value;
        }
        return false;
    }

    private boolean containsBackslash(String uri) {
        if (isBlockBackslash()) {
            return BACKSLASH.stream().anyMatch(uri::contains);
        }
        return false;
    }

    private boolean containsNonAsciiCharacters(String uri) {
        if (isBlockNonAscii()) {
            return !containsOnlyPrintableAsciiCharacters(uri);
        }
        return false;
    }

    private static boolean containsOnlyPrintableAsciiCharacters(String uri) {
        int length = uri.length();
        for (int i = 0; i < length; i++) {
            char c = uri.charAt(i);
            if (c < ' ' || c > '~') {
                return false;
            }
        }
        return true;
    }

    public boolean isBlockSemicolon() {
        return blockSemicolon;
    }

    public void setBlockSemicolon(boolean blockSemicolon) {
        this.blockSemicolon = blockSemicolon;
    }

    public boolean isBlockBackslash() {
        return blockBackslash;
    }

    public void setBlockBackslash(boolean blockBackslash) {
        this.blockBackslash = blockBackslash;
    }

    public boolean isBlockNonAscii() {
        return blockNonAscii;
    }

    public void setBlockNonAscii(boolean blockNonAscii) {
        this.blockNonAscii = blockNonAscii;
    }
}

shiro在浏览器第一次访问时会在url上拼接jsessionId到url后面,目的是确保cookie里面有sessionId以保持会话,但拼接时是用

;jsessionid=xxx

的形式拼接的,常规url后面拼接的都是“”和“&”,这是shiro过滤器处理的结果。

以上是我想到的解决办法,如果大家也遇到了这个问题并有更好的办法,希望能一起探讨。

奇怪的大象
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro版本默认密钥的漏洞利用
12-10 6305
Shiro反序列化漏洞修复的过程中,如果仅进行Shiro版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!重点!配套文档地址https://blog.csdn.net/qq_35867875/article/details/125998233?spm=1001.2014.3001.5502 1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。 2、技术选型(全部目前最新版本) springboot、shiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
web学习笔记07-stylelint构造及规则了解
热门推荐
点柈
01-12 1万+
这篇文章主要是对stylelint的构造和规则,根据官网的英文文档, 我花了点时间进行了简单的翻译工作,把主要的意思大概写了一下,算是一篇笔记吧。具体的规则方面有些我就直接用有道翻译的,因为量太大了,我自己主要翻译的就是前半段,加上规则的部分内容,有道翻译的没翻译好的,我顺道给改了改。自己写的demo还没有完善好,等找时间,我完善之后上传下。    其实吧,这个stylelint用起来基本上跟esl
Shiro反序列化漏洞】Shiro-550反序列化漏洞复现,2024年最新通用流行框架大全
最新发布
2401_83946044的博客
04-19 775
我们可以看到,这个图形化的工具就很清楚检测出这个url存在shiro框架,并且还爆破出来了shiro550的迷人AES加密的key值:kPH+bIxk5D2deZiIxcaaaA==,这样就可以证明这个url存在shiro漏洞。对于shiro550,其漏洞的核心成因是cookie中的身份信息进行了AES加解密,用于加解密的密钥应该是绝对保密的,但在。,该秘钥默认是默认硬编码的,所以如果没有修改默认的密钥,就自己可以生成恶意构造的cookie了。的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
Shiro (http:/xxxxx/;JSESSIONID=xxxx) InvalidRequestFilter 400无法跳转到登录页问题
t0m的专栏
05-27 2272
shiro: 1.6 spring: 5.2 访问:http://localhost:8080/demo/;JSESSIONID=655def62-75b3-4ab1-ae27-b7d0e42c431a时, 出现400错误页面,无法跳转到登录页。 当浏览器本地cookie禁用或者部分链接跳转时,会默认加上 ;JSESSIONID= 参数传递cookie中存储的sessionId, 后端Filter过滤器会首先尝试从cookie中获取sessionId,获取不到时尝试解析uri连接(;/JSESSIO.
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6663
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本shiro-1.3.2也可顺利升级至shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
Shiro反序列化漏洞【详细解析】
m0_67392126的博客
08-30 1267
硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。
shiro1.6升级到1.7后的问题处理
qq_35598240的博客
11-29 1万+
由于shiro1.6出现了安全漏洞,需要进行1.7的升级 问题描述 进行升级后有个url突然访问不了,HTTP返回了400,Invaild Request。 接收的URL为 xxx/detail/{name}。 前端传递的地址为 xxx%2fdetail%2f%e6%88%bf%e4%ba%a7(带有中文,已用URL编码) 思路 看到HTTP响应400,我在想是前端参数出了什么问题吗?还是后台接收参数改动了吗? 看了git记录,这边没人改动,那这就很灵性了,只能通过调试找出哪个地方访问了400了,我
Apache Shiro WEB支持
allway2的博客
09-23 412
在开发过程中,您可以禁用 ssl 过滤器。如果您希望会话配置设置和集群可以跨 servlet 容器移植(例如,测试中的 Jetty,但生产中的 Tomcat 或 JBoss),或者您想要控制特定的会话/集群功能,您可以启用 Shiro 的本地会话管理。Shiro 的所有开箱即用的过滤器实现都是这个的子类,因此可以在不从过滤器链中删除它们的情况下启用或禁用它们。要为您的 Web 应用程序启用本机会话管理,您需要配置一个支持 Web 的本机会话管理器,以覆盖默认的基于 servlet 容器的会话管理器。
shiro-core 1.6.0版本 下载.rar
01-27
Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。...2020年8月17日,Apache Shiro发布1.6.0版本修复该漏洞绕过。阿里云应急响应中心提醒Apache Shiro用户尽快采取安全措施阻止漏洞攻击。
shiro-core-1.6.0.jar
08-20
该资源是目前最新shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiro-core1.6.0.zip
09-08
shiro-core-1.6.0 之前用的1.3.2。被检测出Shiro反序列化漏洞。将版本升级成1.6.0后暂未被检测出。
shiro1.6.0.zip
08-20
最新shiro1.6.0最全的jar包,包含shiro-features-1.6.0-features.xml的配置以及shiro-core shiro-spring shiro-web 等等一系列jar
shiro-all-1.6.0.jar
02-02
shiro-all-1.6.0.jar
shiro1.6版本
09-07
2020年8月17日,shiro发布了1.6.0版本修复了绕过认证的bug。这里面包含1.1、1.6版本的jar包
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
ApacheShiro1.9.1 + SpringBoot2.7.1 + MybatisPlus3.3.1详细教程,快速上手,有配套源码。
张全成的博客
07-26 3783
干货快速上手,有配套教程demo。 ​ 配套源码Demo下载地址(建议先下载,配合教程使用,遇到问题留言):https://download.csdn.net/download/qq_35867875/86262165 ​
Shiro去掉登录时url里的JSESSIONID,允许分号 中文参数
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
07-29 1053
Shiro升级1.8之后默认不允许中文参数,以及分号(;)参数,导致系统首次打开时,因带有;JSESSIONID=参数,系统出现400错误页面。
springboot shiro升级后请求路径URL path传中文参数报400invalid reqeust
weixin_52472152的博客
09-13 841
将项目中的fhiro升级后发现通过url path传中文的所有请求都报400 invalid reqeust错误。1、ShiroConfig类增加InvalidRequestFilter Bean。2、修改shiro过滤器配置Bean增加。3、重启应用,问题解决。完整的过滤器配置如下。
apche shiro最新版本
07-10
Apache Shiro 是一个强大且易于使用的 Java 安全框架,用于身份验证、授权、会话管理等安全功能。目前,Apache Shiro最新版本是 1.8.1,该版本于 2021 年 12 月发布。 你可以访问 Apache Shiro 的官方网站或者 Maven 仓库来获取最新版本的信息和下载链接。如果你需要更多关于 Apache Shiro 的信息或有其他问题,请随时告诉我。我会尽力提供帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值