一、漏洞概述
Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
二、影响范围
Apache Shiro < 1.6.0
三、访问页面
四、漏洞复现
1、访问任意目录,发现要求登录。
2、在目录后面加%3b可以绕过权限验证。
五、漏洞利用
1、对接口、目录进行fuzz获取敏感信息。
一、漏洞概述
Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
二、影响范围
Apache Shiro < 1.6.0
三、访问页面
四、漏洞复现
1、访问任意目录,发现要求登录。
2、在目录后面加%3b可以绕过权限验证。
五、漏洞利用
1、对接口、目录进行fuzz获取敏感信息。