filter设计缺陷导致的权限绕过

• 1.1 权限控制的本质

一般来说，为了防止越权操作，通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口（通俗来说就是我们的URI/URL）进行业务梳理，然后判断当前URI/URL是否具有相应的业务权限。

• 1.2 常见权限控制的实现

一般情况下，通常是获取到当前URI/URL，然后跟需要鉴权的接口进行⽐对，或者直接结合startsWith()或者endsWith()方法，设置对应的校验名单。

例如下⾯的过滤器实现，以/login开头的不需要校验(登陆业务每个人都可以访问)，所有.do/.action结尾的接⼝均需要做登陆检查，防止未授权访问等。

String uri = request.getRequestURI();
if(uri.endsWith(".do")||uri.endsWith(".action")) {
//检测当前用户是否登陆
User user =(User) request.getSession().getAttribute("user");
if(user==null|| "".equals(user)) {
errorResponse(response, paramN, "未授权访问");
return;
}
}

但是，在Java中获取当前request中的URI/URL通常会使用request.getRequestURL()和request.getRequestURI()这两个方法，但是如果没有进⾏相关的处理的话，有可能导致权限控制绕过的风险。

• 1.3 绕过方式

当权限过滤器获取当前request中的URI/URL使用request.getRequestURL()和request.getRequestURI()这两个方法时，可以考虑以下三种⽅式进行权限绕过：

• 1.3.1 非标准化绕过

• 相关场景：

例如/system/login开头的接口是白名单，不需要进行访问控制（登陆页面所有人都可以访问），其他接⼝都需要进⾏登陆检查，防止未授权访问：

String uri = request.getRequestURI();
if(uri.startsWith("/system/login")) {
//登陆接口设置⽩白名单
filterChain.doFilter(request, response);
}
else if(uri.endsWith(".do")||uri.endsWith(".action")) {
//检测当前⽤户是否登陆
User user =(User) request.getSession().getAttribute("user");
if(user==null|| "".equals(user)) {
errorResponse(response, paramN, "未授权访问");
return;
}
}

• 相关效果如下：

当未登录直接访问UserInfoSearch.do接口时，显示未授权访问：

• 相关原理：

中间件在进⾏解析时，会对我们URI中的../进行相关处理从⽽得到相关的servlet。也就是说尝试对我们访问的URL引入../，中间件是可以正常解析并完成正常业务的，以tomcat中的examples目录中的案例servlet访问为例，尝试访问一个不存在的目录login，然后通过../回到正常目录下，正常解析：

• 绕过分析：

使用request.getRequestURL()和request.getRequestURI()这两个方法进⾏访问接口的获取时，是不会对类似../等进⾏规范化处理的，也就是说刚刚我们访问的/system/login/../UserInfoSearch.do际获取到的URI为：

同样是前⾯的例子，那么我们可以通过在URI中写⼊/login/../,使得权限过滤器认为我们当前访问的接⼝为白名单接口，从而绕过权限控制，使得系统认为我们当前访问的接⼝是登陆login，不需要进行权限校验：

• 绕过方法：

在URI引⼊入类似/login（白名单接口，可以通过测试得出，一般登陆都是不需要权限校验的）/../的
样式，伪造⽩名单接口。

• 1.3.2 URL截断绕过

• 相关场景：

例如/system/login开头的接⼝是⽩名单，不需要进行访问控制（登陆⻚面所有人都可以访问），其他接口都需要进行登陆检查，防止未授权访问，但是考虑到了../的非法访问问题：

String uri = request.getRequestURI();
if(uri.contains("./")){
errorResponse(response, paramN, "⾮非法访问");
return;
}
else if(uri.startsWith("/system/login")) {
//登陆接口设置⽩白名单
filterChain.doFilter(request, response);
}
else if(uri.endsWith(".do")||uri.endsWith(".action")) {
//检测当前用户是否登陆
User user =(User) request.getSession().getAttribute("user");
if(user==null|| "".equals(user)) {
errorResponse(response, paramN, "未授权访问");
return;
}
}

• 相关效果如下：

当未登录直接访问UserInfoSearch.do接⼝时，显示未授权访问：

尝试结合../伪造白名单，失败：

• 相关原理：

URL中有一个保留字符分号（;），主要作为参数分隔符进行使用，有时候是请求中传递的参数太多了，所以使用分号（;）将参数对（key=value）连接起来作为一个请求参数进⾏传递。

直接在URI中引入分隔符，正常来说是不会对实际接口的访问造成影响的。

• 绕过分析：

对于request.getRequestURL()和request.getRequestURI()来说，使用&连接的参数键值对，其是获取不到的，但是参数分隔符（;）及内容是可以获取到的：

同样是前面的例子,访问.do结尾的接口需要进行登陆检查，否则认为未授权访问，那么此时可以利用分隔符，绕过endsWith()检测，使得权限过滤器认为我们访问的接口不是业务接口，从而达到绕过权限控制的效果：

• 绕过⽅法：

在URI引⼊入参数分隔符;，进⾏切割URI绕过限制，例例
如/system;Bypass/UserSearch.do;Bypass

• 1.3.3 URL编码绕过

• 相关场景：

例如/system/UserInfoSearch.do接⼝是管理员才能访问的接口，需要进⾏⽤户检查，防止越权访问：

if(uri.equals("/system/UserInfoSearch.do")){
User user =(User) request.getSession().getAttribute("user");
String role = user.getRole();
if(role.equals("admin")) {
//当前⽤用户为admin，允许访问该接⼝
filterChain.doFilter(request, response);
}
else {
errorResponse(response, paramN, "越权访问");
return;
}
}

• 相关效果如下：

若不是admin用户登陆，拒绝访问UserInfoSearch.do接口：

否则返回当前系统存在的用户名：

• 相关原理：

当filter处理完相关的流程后，中间件会对请求的URL进行一次URL解码操作，然后再找到对应的Servlet进行访问。

也就是说尝试对我们访问的URL进行一次URL编码，中间件是可以正常解析并完成正常业务的，以tomcat中的examples⽬目录中的案例servlet访问为例，尝试将HelloWorldExample进行URL编码再进行访问，正常解析：

• 绕过分析：

除了前面介绍的两种方式以外，这里存在一个问题，使用request.getRequestURL()和request.getRequestURI()这两个⽅法进⾏行行访问接口的获取时，是不会进行URL解码操作的，也就是说刚刚我们访问的

/system/%55%73%65%72%49%6e%66%6f%53%65%61%72%63%68%2e%64%6f实际获取到的URI为：

那么我们可以通过对URI进行URL编码，此时filter中得到的uri并不是正常的/system/UserInfoSearch.do,⽽是编码后的，但是filter转发请求后浏览器可以解码并正常解析，从而达到以低权限用户绕过权限控制访问管理员接口的效果：

• 绕过⽅法：

对URI进行URL编码/多重URL编码，尝试绕过。

• 1.3.4 Spring Web的动态Controller追加/绕过

• 相关场景：

一般情况下，通常是获取到当前URI/URL，然后跟需要鉴权的接⼝进行比对，结合endsWith()方法，设置对应的校验名单。

例如下面的过滤器实现，所有.do、.action结尾的接口均需要做登陆检查，防⽌止未授权访问等。

String uri = request.getServletPath()+(request.getPathInfo() == null ?
"" : request.getPathInfo());
if(uri.endsWith(".do")||uri.endsWith(".action")) {
//检测当前用户是否登陆
User user =(User) request.getSession().getAttribute("user");
if(user==null|| "".equals(user)) {
errorResponse(response, paramN, "未授权访问");
return;
}
}

• 相关原理：

特定情况下，Spring web在匹配url接⼝的时候会容错后⾯额外的/。

以Spring MVC为例例，如下配置的话，在实际接口访问的时候会容错后⾯额外的/：

<servlet-mapping>
<servlet-name>SpringMVC</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>

例如以下两种访问方式效果都是一样的:

/admin/info.do?param=value

/admin/info.do/?param=value

• 绕过分析：

考虑到上⾯使用request.getRequestURL()和request.getRequestURI()这两个⽅方法进行访问接⼝的获取时存在的安全隐患，这里使用 request.getServletPath()+(request.getPathInfo() == null ? "" :

request.getPathInfo())进行路径的获取，但是如果在接口URI后追加额外的/，还是可以获取到的：

 根据上⾯的filter代码，正常情况下非登陆访问/admin/info.do，会提示未授权访问：

尝试在接口后追加额外的/，成功绕过权限校验：

• 绕过方法：

尝试在对应的URL接口后加入/，以绕过权限控制。

• 1.4 修复建议及防御方式

•   以Java为例：

1.使用如下⽅法进⾏相关路路径的获取:

request.getServletPath()+(request.getPathInfo() == null ? "" :
request.getPathInfo());

2.对相关的接口访问进行标准化处理，剔除不相关的元素，例如../,分隔符(;)后的内容以及接⼝后不必要的/等；

3.使用ESAPI的canonicalize方法进行规范化处理:

ESAPI.encoder().canonicalize(URI)

同时在对应的配置⽂文件ESAPI.properties禁⽤用双重uri编码（默认开启）:

Encoder.AllowMultipleEncoding=false

具体效果如下，当接收到双重url编码时，会触发报错：

4.尽量不要使用类似startsWith()、endsWith()进⾏判断。

5.使用成熟的权限控制框架进行权限校验。（Spring Security、Shiro等）

• 1.5 思维导图

• 相关实操练习：Springboot未授权访问 ——Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息从而导致信息泄露的事件发生。