shiro实战:接口权限控制,shiro解决数据平行越权安全漏洞

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量5.2k 收藏 13
点赞数 5
分类专栏: 技术相关 文章标签: shiro java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penggerhe/article/details/108225886
版权

文章目录

背景

昨天被网安大队扫描安全漏铜,提到有个致命的安全漏洞:数据接口平行越权,要求半个月内整改完毕。数据平行越权用大白话说就是:我先用超级管理员登录后台系统,然后我记住了菜单A对应的URL。我在用普通管理员登录,但是没有菜单A的权限,但是我可以直接通过菜单A的URL进行访问。
数据平行越权的漏洞最根本问题是,系统没有针对接口级别的权限控制。好多系统都是所有接口做个拦截器,只校验了是否登录,并没有把用户、角色权限和接口给关联起来。
下图为网安大队安全漏洞报告截图:
网安大队安全漏洞报告截图

以下讲下java web框架的解决思路。

解决方案

JAVA后台变更:

  1. pom.xml 引入shiro对应的jar包:
		<!-- 对shiro的支持 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!-- shiro对redis的支持 -->
        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>2.4.2.1-RELEASE</version>
        </dependency>
  1. 需要权限控制的接口加入以下注解:
@RequiresPermissions("student:getStudent")
    @RequestMapping(value = "getStudent",method= RequestMethod.POST)
    public ModelAndView getStudent()
    {
    	return new ModelAndView("/student");
    }
  1. application.yml 配置shiro 和redis 信息:
spring:
  redis:
    shiro :
      host: 127.0.0.1
      port: 6379
      timeout : 0
      password:
  1. 统一异常处理类:MyExceptionHandler.java
@Slf4j
public class MyExceptionHandler implements HandlerExceptionResolver {

    public ModelAndView resolveException(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception ex) {
    	ex.printStackTrace();
        ModelAndView mv = new ModelAndView();
        FastJsonJsonView view = new FastJsonJsonView();
        Map<String, Object> attributes = new HashMap<String, Object>();
        if (ex instanceof UnauthenticatedException) {
            attributes.put("sucess", "false");
            attributes.put("info", "token错误");
        } else if (ex instanceof UnauthorizedException) {
            attributes.put("sucess", "false");
            attributes.put("info", "用户无权限");
        } else {
            attributes.put("sucess", "false");
            attributes.put("info", ex.getMessage());
            log.error("发生未处理的异常={}",ex.getMessage(),ex);
        }

        view.setAttributesMap(attributes);
        mv.setView(view);
        return mv;
    }
}
  1. 新建权限控制:MyShiroRealm.java
public class MyShiroRealm extends AuthorizingRealm {
    @Resource
    private SysUserService sysUserService;
    @Autowired
    private SysRoleService sysRoleService;

    /**
     * 获取授权信息(把数据库中shiroID加入到shiro中管理,然后如果ctronler层方法加上@RequiresPermissions注解才会调用这个方法和数组进行比对)
	 * 只有当需要检测用户权限的时候才会调用此方法
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
	{
		//获取username
		SysUser sysUser=(SysUser) SecurityUtils.getSubject().getSession().getAttribute("sysUserLogin");
		List<SysPrivilege> sysPrivilegeList=sysPrivilegeList=sysRoleService.getSysPrivilegeByRoid(sysUser.getRoleId());
		// 用户权限列表
		Set<String> permsSet = new HashSet<>();
		for (SysPrivilege perms : sysPrivilegeList)
		{
			if (StringUtils.isBlank(perms.getShiroID()))
			{
				continue;
			}
			permsSet.addAll(Arrays.asList(perms.getShiroID().trim().split(",")));
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addStringPermissions(permsSet);
		return info;
	}

    /**
     * 获取身份验证信息
     * 主要是用来进行身份认证的,也就是说验证用户输入的账号和密码是否正确。*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {
//        System.out.println("MyShiroRealm.doGetAuthenticationInfo()");
        //获取用户的输入的账号.
        String username = (String) token.getPrincipal();
//        System.out.println(token.getCredentials());
        //通过username从数据库中查找 User对象,如果找到,没找到.
        //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
        SysUser userInfo = sysUserService.getByUserCode(username);
//        System.out.println("----->>userInfo="+userInfo);
        if (userInfo == null) {
            return null;
        }
        if (Integer.parseInt(userInfo.getStates()) == 1) { //账户冻结
            throw new LockedAccountException();
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                token.getCredentials(), //用户名
                userInfo.getPassword(),//salt=username+salt
                getName()  //realm name
        );
        return authenticationInfo;
    }

}
  1. 新建shiro 管理类:MySessionManager.java
public class MySessionManager extends DefaultWebSessionManager {

    private static final String AUTHORIZATION = "Authorization";

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public MySessionManager() {
        super();
    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        //适合于安卓,ios的或者前后端分离情况,直接在head头中传入sessionId的值(sessionId的键名为Authorization)
        if (!StringUtils.isEmpty(id)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //适用于浏览器访问,否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }

}
  1. 新建shiro 配置规则类:ShiroConfig.java
@Configuration
public class ShiroConfig {

    @Value("${spring.redis.shiro.host}")
    private String host;
    @Value("${spring.redis.shiro.port}")
    private int port;
    @Value("${spring.redis.shiro.timeout}")
    private int timeout;
    @Value("${spring.redis.shiro.password}")
    private String password;

    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        System.out.println("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        //注意过滤器配置顺序 不能颠倒
        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了,登出后跳转配置的loginUrl
        filterChainDefinitionMap.put("/loginout", "logout");
        // 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/jqueryEasyui/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/theme/**", "anon");
        filterChainDefinitionMap.put("/druid/**", "anon");
        filterChainDefinitionMap.put("/ajaxLogin", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/demoOrder/**r", "anon");
        filterChainDefinitionMap.put("/**", "authc");
        //配置shiro默认登录界面地址,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据
        shiroFilterFactoryBean.setLoginUrl("/index");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //未授权界面;
//        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    /**
     * 凭证匹配器
     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
     * )
     *
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
        return hashedCredentialsMatcher;
    }

    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }


    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        // 自定义session管理 使用redis
        securityManager.setSessionManager(sessionManager());
        // 自定义缓存实现 使用redis
        securityManager.setCacheManager(cacheManager());
        return securityManager;
    }

    //自定义sessionManager
    @Bean
    public SessionManager sessionManager() {
        MySessionManager mySessionManager = new MySessionManager();
        mySessionManager.setSessionDAO(redisSessionDAO());
        return mySessionManager;
    }

    /**
     * 配置shiro redisManager
     * <p>
     * 使用的是shiro-redis开源插件
     *
     * @return
     */
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(host);
        redisManager.setPort(port);
        redisManager.setExpire(1800);// 配置缓存过期时间(登录是失效时间,0代表永不失效)
        redisManager.setTimeout(timeout);
        redisManager.setPassword(password);
        return redisManager;
    }

    /**
     * cacheManager 缓存 redis实现
     * <p>
     * 使用的是shiro-redis开源插件
     *
     * @return
     */
    @Bean
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }

    /**
     * RedisSessionDAO shiro sessionDao层的实现 通过redis
     * <p>
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager());
        return redisSessionDAO;
    }

    /**
     * 开启shiro aop注解支持.
     * 使用代理方式;所以需要开启代码支持;
     *
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * 注册全局异常处理
     * @return
     */
    @Bean(name = "exceptionHandler")
    public HandlerExceptionResolver handlerExceptionResolver() {
        return new MyExceptionHandler();
    }
}

前端变更:

  1. 前端需要根据自己的框架,作统一的底层判断然后跳到统一的权限异常页面。
  2. 后台界面配置也需要支持对shiroid的管理。如下效果:
    在这里插入图片描述
    在这里插入图片描述

源码地址:

  1. 获取完整源码地址: https://download.csdn.net/download/penggerhe/11670196
  2. 公众号关注,免费领取:
    在这里插入图片描述
IT管理圈
关注
专栏目录
36-2 shiro越权 - shiro越权介绍
weixin_43263566的博客
04-15 195
Apache Shiro 是一个强大且易用的 Java 安全框架,负责执行身份验证、授权、密码和会话管理。无论是最小的移动应用程序还是最大的网络和企业应用程序,都可以通过使用 Shiro 的 API 快速、轻松地实现安全功能。
Shiro--越权控制
IT利刃出鞘的博客
05-31 2226
其他网址 访问控制--越权_weixin_30379973的博客-CSDN博客 访问控制的含义 在互联网安全领域,尤其是web安全领域中,“权限控制”的问题可以归结为“访问控制”。 访问控制广泛应用于各个系统中。抽象地说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。 在一个安全系统中,确定主体的身份是“认证”解决的问题;而客体是一种资源,是主体发起的请求的对象。在主体对客体进行操作的过程中,系统控制主体不能“无限制”的...
基于JWT 和 Shiro接口权限认证
最新发布
ewii12567的博客
07-24 1188
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
越权访问解决方案探索(基于SpringShiro,多页面前端应用)
Simon111Qiu的博客
11-11 2064
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。越权访问的介绍可以参考如下文章,介绍得比较详细: https://blog.csdn.net/u012068483/article/details/89553797 目前的问题分析与解决思路: 问题1、水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而
平行越权
yy228313的专栏
01-28 2969
系统描述:在如下图的会员系统中,门户项目是使用纯html做页面的。 数据交互:html使用Ajax请求门户项目的一般处理程序--》门户项目请求接口项目的一般处理程序。 导致问题:门户项目即使做了登录验证,也存在平行越权的问题。 解决方法: 个人信息的查询--接口项目在返回的JSON中添加会员卡号,该会员卡号需要和Session中的会员卡号对比,一致才返回给页面。 提交--浏览器提交的
Shiro权限绕过漏洞
qq_42947816的博客
02-03 3169
在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造恶意Payload,可以绕过Shiro中对目录的权限限制
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮是否显示 更新记录 v2.0.0 2021.05.09 支持一个用户多个角色 ...
Apache Shiro权限框架实战+项目案例视频课程
06-09
3. **授权机制**:学习Shiro权限控制,如Role(角色)和Permission(权限)的概念,以及基于角色的访问控制(RBAC)。 4. **会话管理**:掌握如何使用Shiro管理用户的会话,包括会话超时、分布式会话支持等。 5....
shiro-1:springmvc+shiro 代码级别的权限控制
06-03
在这个“shiro-1:springmvc+shiro 代码级别的权限控制”项目中,我们将深入探讨如何将 Shiro 集成到 SpringMVC 应用中,实现细粒度的权限控制。 1. **Shiro 概述** Apache Shiro 提供了一套简单的 API 来处理身份...
Spring MVC整合Shiro权限控制的方法
08-27
Spring MVC整合Shiro权限控制的方法 Spring MVC 是一个流行的 Java Web 框架,而 Shiro 是一个功能强大且灵活的开放源代码安全框架。为了实现权限控制,需要将 Spring MVC 和 Shiro 进行整合。下面是 Spring MVC ...
Springbootbootstrap实现shiro权限控制配置过程
08-19
3. 配置Shiro的Permission:Shiro的Permission是权限控制的基本单位,定义了用户的操作权限。在SpringBoot中,可以使用Shiro的Permission实现类来配置Permission。 4. 配置Shiro的Role:Shiro的Role是权限控制的角色...
【后端-接口设计】java应用接口授权鉴权与URL防篡改详细设计
Ric的博客
10-13 3236
1. 颁发授权码 系统内部维护一系列授权码,授权码绑定接口白名单,第三方系统调用时需要`header`携带拥有权限的授权码才能访问指定某些接口。 2. 使用`MD5`签名防止`URL`被篡改 第三方客户端发起请求时对`URL`进行`MD5`加密,把签名放到请求头。系统做拦截,再次对`URL`进行MD5加密,做签名对比,签名一致即可放行。
javashiro过滤器设置接口过滤权限
猫头鹰数据的专栏
06-17 1015
今天遇到一个需求,要求后台接口不验证权限也能请求成功,由于我们的后台框架是nacos微服务,所以想到直接去改nacos中该微服务的shiro配置,我们打开shiro-common.yml文件,
[详细]Apache Shiro身份验证越权漏洞[CVE-2016-6802][CVE-2020-1957]
qq_60115503的博客
11-07 2749
Apache Shiro是一个强大且易用的java安全框架,执行身份验证,授权,密码和会话管理,使用Shiro的API,可以快速获取任何应用程,从最小的移动应用到最大的网络和企业应用程序。
靶场复现————平行越权、垂直越权
weixin_46601374的博客
03-27 6692
什么是越权越权漏洞的概念 越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。 目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权(垂直越权)操作。 越权一般分为水平越权和垂直越权。 水平越权是指相同权限下不同的用户可以互相访问 垂直越权是指使用权限低的用户可以访问到权限较高的用户 水平越权测试方法主要就是看看能否通过A用户操作影响到B用户 ...
如何实现登录后只显示自己信息的页面_Springboot Shiro页面按钮显示、路径越权访问题...
weixin_39630735的博客
12-06 1221
阅读前文章SpringBoot Shiro 实现登录/记住我的功能SpringBoot Shiro基于Url权限拦截系统本文导读通过以上两篇文章,已经实现了shiro登录,基于Url实现权限拦截,那么问题来了,现在有需求要求:用户登录后进入主页或者某个页面,只显示这个用户拥有的权限菜单、按钮,无权限不应该显示。针对这个需求,我们应该如何处理呢?这就是本文重点实现的。编写SQL/DAO/Contro...
Java安全』Shiro1.0.0未标准化路径造成越权访问(CVE-2010-3863)复现与浅析
Ho1aAs‘s Blog
06-22 1419
# 影响版本 1.0.0-incubating # 漏洞原理 未标准化路径造成`/./`越权访问
36-3 shiro越权 - shiro越权漏洞复现
weixin_43263566的博客
04-16 142
我们现在访问网站的admin页面,网站会先对我们当前的用户权限进行验证,没有通过就会跳转到登录页面,让我们的登录一个有对应权限的账号。注意:因为靶场会进行权限验证所以访问会比较慢。IP + 8080 端口访问。正常访问admin的情况。加上payload的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT管理圈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值