Java代码审计&鉴权漏洞&Interceptor&Filter&Shiro&JWT

已于 2024-01-22 07:13:03 修改
阅读量1.7k 收藏 27
点赞数 37
分类专栏: 代码审计 文章标签: 身份验证 Interceptor Filter Shiro JWT Java安全
于 2023-12-26 20:51:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46081990/article/details/135207986
版权

目录

0x00 前言

0x01 鉴权方式&审计思路 

1、目前主流的鉴权方式

2、鉴权漏洞审计思路

0x02 Interceptor鉴权审计 - NewbeeMall电商系统

1、项目介绍 - NewbeeMall

2、Interceptor 补充介绍

3、NewbeeMall - Interceptor鉴权 - 代码审计

0x03 Filter鉴权审计 - 华夏ERP进销存系统

1、项目介绍 - 华夏ERP

2、华夏ERP - Filter - 代码审计

0x04 Shiro鉴权审计 - Tumo博客系统

1、项目介绍 - Tumo博客系统

2、Tumo - Shiro - 代码审计

0x05 JWT鉴权审计 - FastCMS

1、项目介绍 - FastCMS

2、JWT鉴权漏洞审计思路

3、FastCMS - JWT - 代码审计

0x00 前言

希望和各位大佬一起学习,如果文章内容有错请多多指正,谢谢!  

个人博客链接:CH4SER的个人BLOG – Welcome To Ch4ser's Blog

0x01 鉴权方式&审计思路 

1、目前主流的鉴权方式

        Interceptor是一种拦截器,也称之为拦截器链(Interceptor Chain),主要用于拦截请求、响应或处理过程中的某些事件,比如权限认证、日志记录、性能测试等。在 Java 中,Interceptor可以用来扩展框架,增加或修改某个方法的行为,或者对应用流程做些前置处理、后置处理、环绕处理等。

        Filter被称为过滤器,过滤器实际上就是对Web资源进行拦截,做一些处理后再交给下一个过滤器或Servlet处理,通常都是用来拦截request进行处理的,也可以对返回的 response进行拦截处理。开发人员利用filter技术,可以实现对所有Web资源的管理,例如实现权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。

        Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

        JWT(JSON Web Token),将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份。基于token的身份验证可以替代传统的cookie+session身份验证方法。这使得JWT成为高度分布式网站的热门选择,在这些网站中,用户需要与多个后端服务器无缝交互。

2、鉴权漏洞审计思路

         不同于常规审计思路,鉴权漏洞几乎没有业务关键词供搜索,其特征较弱。所以,针对鉴权漏洞的代码审计,思路为直接找鉴权技术特征目录进行代码追溯。

  • 找有没有 Interceptor ,拦截器里有没有鉴权
  • 找有没有 Filter ,过滤器里有没有鉴权
  • 找有没有 Shiro ,看版本及里面的逻辑配置
  • 找有没有 JWT ,看后面写的四个方向确定
  • 若以上都没有,可能是自写的鉴权代码

0x02 Interceptor鉴权审计 - NewbeeMall电商系统

1、项目介绍 - NewbeeMall

        Newbee-mall 项目是一套电商系统,包括 newbee-mall 商城系统及 newbee-mall-admin 商城后台管理系统,基于 Spring Boot 2.X 及相关技术栈开发。

        前台商城系统包含首页门户、商品分类、新品上线、首页轮播、商品推荐、商品搜索、商品展示、购物车、订单结算、订单流程、个人订单管理、会员中心、帮助中心等模块。

        后台管理系统包含数据面板、轮播图管理、商品管理、订单管理、会员管理、分类管理、设置等模块。

下载:https://github.com/newbee-ltd/newbee-mall

2、Interceptor 补充介绍

参考:Spring Boot拦截器(Interceptor)详解

Interceptor必须重写以下三个方法:preHandle、postHandle、afterCompletion

  • preHandle 方法:在请求处理之前被调用。当它返回 false 时,表示拦截请求,不继续执行后续处理器;当它返回为 true 时,表示放行请求,继续执行后续处理器
  • postHandle 方法:在 Controller 方法调用之后执行
  • afterCompletion 方法:在整个请求结束之后,也就是在 DispatcherServlet 渲染了对应的视图之后执行
public class LogInterceptor extends HandlerInterceptorAdapter {    

@Override    
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {      
     long startTime = System.currentTimeMillis();       
     System.out.println("\n-------- LogInterception.preHandle --- ");        
     System.out.println("Request URL: " + request.getRequestURL());        
     System.out.println("Start Time: " + System.currentTimeMillis());        
     request.setAttribute("startTime", startTime);       
      return true;    
}    

@Override   
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { 
      System.out.println("\n-------- LogInterception.postHandle --- ");        
      System.out.println("Request URL: " + request.getRequestURL());    
}    

@Override   
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {        
   System.out.println("\n-------- LogInterception.afterCompletion --- ");        
   long startTime = (Long) request.getAttribute("startTime");        
   long endTime = System.currentTimeMillis();        
   System.out.println("Request URL: " + request.getRequestURL());        
   System.out.println("End Time: " + endTime);        
   System.out.println("Time Taken: " + (endTime - startTime));   
    }
}

       

        假如有三个不同的Interceptor,他们的配置如下,则其默认执行顺序为其注册顺序。当然,也可以使用 InterceptorRegistry#order(int) 方法指定执行顺序,值越小优先级越高。

@Configurationpublic 
class WebConfig implements WebMvcConfigurer {    
@Override    
public void addInterceptors(InterceptorRegistry registry) {        
	registry.addInterceptor(new LogInterceptor());      
	registry.addInterceptor(new OldLoginInterceptor()).addPathPatterns("/admin/oldLogin"); 
	registry.addInterceptor(new	AdminInterceptor()).addPathPatterns("/admin/*").excludePathPatterns("/admin/oldLogin");   
	 }
}

3、NewbeeMall - Interceptor鉴权 - 代码审计

3.1、 确定鉴权方式

       翻阅 pom.xml 和 External Libraries,未观察到 Shiro、JWT 关键字,排除使用 Shiro、JWT 进行鉴权的可能。继续翻阅项目文件,观察到 interceptor 文件夹下有三个文件:AdminLoginInterceptor、NewBeeMallCartNumberInterceptor、NewBeeMallLoginInterceptor。继续搜索注册关键字 "registry.addInterceptor" 定位到 Interceptor 的配置文件 NeeBeeMallWebMvcConfigurer,最终确定该项目使用 Interceptor 进行鉴权。

3.2、AdminLoginInterceptor >> preHandle >> uri.startsWith

        分析 AdminLoginInterceptor 的 preHandle 方法,得知若请求的 URI 以 "/admin" 开头且 Session 中的 loginUser 属性为 null,则进行拦截。

3.3、漏洞利用

        由于 Session 无法伪造,那么可以从 URI 入手,试想若构造一个不以 /admin 开头的 URI,那不就可以放行了吗?于是构造 URI 为 /;/admin//admin(不影响解析)成功绕过 Interceptor 进入后台。

0x03 Filter鉴权审计 - 华夏ERP进销存系统

1、项目介绍 - 华夏ERP

华夏 ERP 是目前唯一完整开源的进销存系统,具备进销存 + 财务的功能(只有后台)

核心框架为 SpringBoot 2.0.0,持久层框架为 Mybatis 1.3.2,日志管理为 Log4j 2.10.0

项目环境为:Mysql5.7+、JDK1.8、Maven3.2.3

下载:https://github.com/jishenghua/jshERP

2、华夏ERP - Filter - 代码审计

2.1、确定鉴权方式

        翻阅 pom.xml 和 External Libraries,未观察到 Shiro、JWT 关键字,排除使用 Shiro、JWT 进行鉴权的可能。继续翻阅项目文件,观察到 filter 文件夹下有文件:LogCostFilter,其 urlPatterns 为匹配所有,分析 doFilter 方法确实含有于鉴权相关的代码逻辑,所以确定项目使用 Filter 进行鉴权。

2.2、LogCostFilter >> urlPatterns >> doFilter >> requestUrl,ignoredList,allowUrl

分析 doFilter 方法,得出其放行和拦截的逻辑如下:

  • 检查用户是否已登录,如果已登录则放行
  • 放行登录页和注册页
  • 检查是否为忽略列表中的URL,如果是则放行
  • 检查是否为允许列表中的URL,如果是则放行
  • 否则,重定向到登录页

分析 init 方法,得知以下信息:

  • ignoredList << ignoredUrl = ".css#.js#.jpg#.png#.gif#.ico"
  • allowUrls << filterPath = "/user/login#/user/registerUser"

2.3、漏洞利用 

      根据上面得到的信息,从 URI 入手,构造 URI 为:

/login.html/../account/getAccount
/register.html/../account/getAccount
/ch4ser.css/../account/getAccount
/ch4ser.jpg/../account/getAccount
/user/login/../../account/getAccount
/user/registerUser/../../account/getAccount
........

        BurpSuite抓包修改URI,成功在未登录情况下进入后台。

0x04 Shiro鉴权审计 - Tumo博客系统

1、项目介绍 - Tumo博客系统

Tumo Blog 是一个简洁美观的博客系统,基于SpringBoot2.X + Vue.js。

下载:https://github.com/TyCoding/tumo

2、Tumo - Shiro - 代码审计

2.1、确定鉴权方式

        翻阅 pom.xml 和 External Libraries,观察到 Shiro 关键字,确定项目使用 Shiro 进行鉴权。

2.2、查看Shiro配置信息

        查看 tumo.properties,发现有关 Shiro 的配置,其中 anon_url 为可匿名访问的路径(一般代表不需要鉴权)。不同于 Shiro 本身的漏洞,这里的鉴权漏洞是由于开发、运维不当的 Shiro 配置所造成的。

2.3、漏洞利用 

        根据Shiro配置信息,寻找利用点,比如 /comment/** 是不需要鉴权的。全局搜索 "/comment" 相关的 Controller 文件,定位到 CommentController。

        测试删除评论,路由为 /comment/{id},提交方式为 DELETE。

        删除前,数据库存储的评论如下:

        BurpSuite抓包修改提交方式为 DELETE,成功删除评论,如下:

0x05 JWT鉴权审计 - FastCMS

1、项目介绍 - FastCMS

FastCMS 基于 SpringBoot 进行插件式开发,具有极强的扩展性,内置一套完整的 CMS 建站系统,同时也支持博客,论坛,商城等功能。

下载:https://gitee.com/xjd2020/fastcms

2、JWT鉴权漏洞审计思路

一般来说,空加密和未校验签名很少见,除非是新手开发、运维,比较常见的是默认密钥未修改和密钥存在被爆破的可能。

  • 生成时使用空加密(逻辑代码问题)
  • 服务端未校验签名(逻辑代码问题)
  • 密钥默认未被修改(搭建后未修改)
  • 密钥爆破可能性大(密钥过于简单)

3、FastCMS - JWT - 代码审计

3.1、确定鉴权方式

        翻阅 pom.xml 和 External Libraries,观察到 JWT 相关 Dependency 信息。

        除此之外,BurpSuite 抓包也能看到很明显的 JWT 流量特征(eyJ)

3.2、审计流程

 分析 JwtAuthTokenFilter,它主要做了以下工作:

1、在请求到达控制器之前检查JWT令牌,并将令牌中的认证信息设置到Spring Security

2、过滤器根据请求URI的前缀判断是否需要进行身份验证。

3、如果需要验证且JWT令牌有效,它将继续执行过滤器链;否则,它将返回相应的错误响应。

JWT 的验证到底有没有问题,关键就在于 tokenManager 的各个方法是否存在问题,于是跟踪到了 DelegatingTokenManager,检查其各个方法的代码,发现不存在空加密或未校验签名的问题。

转而查看 application.yml,发现密钥 secret-key 为官方默认的,也就是说搭建后未修改过。

3.3、漏洞利用 

利用默认密钥,生成管理员账户的 JWT(注意修改过期时间 exp)

BurpSuite 抓包修改 JWT 值,成功进入管理员后台

Ch4ser
关注
专栏目录
Java代码审计之SpEL表达式注入漏洞分析
道阻且长,行则将至。
12-07 821
表达式注入是 Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入、SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
java http鉴权(spring boot 工程)
08-30
java http鉴权(spring boot maven工程),全网首个完整例子,经过测试可用。
Java中的代码审计
最新发布
weixin_46372265的博客
07-22 1062
代码审计,顾名思义,就是对代码进行系统的检查和分析,以发现潜在的问题或优化点。它不仅仅是寻找代码中的错误或漏洞,更是为了确保代码的质量、安全性和性能。代码审计可以分为手工审计和自动化审计两种方式。手工审计需要经验丰富的开发人员逐行检查代码,而自动化审计则借助各种工具和技术来高效地扫描和分析代码。
Java——鉴权
wang__sepcial的博客
05-11 3834
springboot 权限认证方案
shiro 和 springsecurity_跟常用框架Spring Security`和shiro比 ,微服务到底胜在哪?
weixin_29997523的博客
01-07 179
前言Java下常用的安全框架主要有Spring Security和shiro,都可提供非常强大的功能,但学习成本较高。在微服务下鉴权多多少少都会对服务有一定的入侵性。 为了降低依赖,减少入侵,让鉴权功能相对应用服务透明,我们采用网关拦截资源请求的方式进行鉴权。一、整体架构整体结构用户鉴权模块位于API GateWay服务中,所有的API资源请求都需要从此通过。做身份认证,通过则缓存用户权限数据,不...
java鉴权_Spring Security零基础入门之四~鉴权
weixin_39557583的博客
11-23 403
1.前言这是本系列的第四篇文章,前三篇主要讲了使用Spring Security进行验证的原理、流程和例子,全系列传送门如下:第一篇:Spring Security零基础入门之一。第二篇:Spring Security零基础入门之二~验证第三篇:Spring Security零基础入门之三~使用数据库进行验证第四篇:Spring Security零基础入门之四~鉴权本篇的内容主要介绍Spring ...
java 鉴权登录,登录鉴权-JAVA语言
weixin_29269441的博客
03-12 1284
本文主要向大家介绍了登录鉴权-JAVA语言,通过具体的内容向大家展示,希望对大家学习JAVA语言有所帮助。登录鉴权:1. 用户名+密码 登录请求2. 后台接收登录请求,生成ToKen(用户名/密码正确) 返回token3. 请求其他api 都带上token,后台校验token是否存在/过期后台代码如下:登录/登出 --------------@RestController@RequestMappi...
Java代码审计&amp;鉴权漏洞&amp;Interceptor&amp;Filter&amp;Shiro&amp;JWT_java鉴权漏洞
m0_63174618的博客
04-07 745
Newbee-mall 项目是一套电商系统,包括 newbee-mall 商城系统及 newbee-mall-admin 商城后台管理系统,基于 Spring Boot 2.X 及相关技术栈开发。前台商城系统包含首页门户、商品分类、新品上线、首页轮播、商品推荐、商品搜索、商品展示、购物车、订单结算、订单流程、个人订单管理、会员中心、帮助中心等模块。后台管理系统包含数据面板、轮播图管理、商品管理、订单管理、会员管理、分类管理、设置等模块。
jwt结合shiro实现认证和权限控制,非常详细
热门推荐
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7216
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
小程序(二)shiro+jwt登录认证
weixin_38380811的博客
02-16 1675
小程序(二)shiro+jwt
spring boot集成shiro+redis+jwt
qq_41015193的博客
03-22 1402
spring boot集成shiro+redis+jwt 集成shiro作为权限校验框架 jwt生成token redis缓冲token和用户相关得一些数据 Shiro框架简单介绍 Apache ShiroJava的一个安全框架,旨在简化身份验证和授权。ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。 添加依赖(数据库和持久层框架根据实际情况添加) <!--redis--> <dependency&g
Java认证鉴权框架:Sa-Token
love_eat_peach的博客
06-06 2641
(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
javajava的Jaas授权与鉴权
九师兄
12-29 1655
文章目录1.概述2. 概念预览3.SecurityManager应用场景2. 测试2.1 无安全测试2.2 安全测试2.1 绑定授权策略文件3. 其他java权限4.优化5.再次优化错误集锦1.11.2 1.概述 Jaas主要负责的是 Authentication 和 Authorization。Java平台提供的认证与授权服务(Java Authentication and Authorizat...
简单的Java的token鉴权架构
Demon的博客
07-04 4298
简单的Java的token鉴权架构
Java解决垂直鉴权问题(对垂直权限进行校验)
qq_57703172的博客
05-07 740
避免垂直鉴权实现原理:每次用户访问时,都要判定该用户是否有访问此 URL 的权限。
【SpringBlade-权限缺陷】API鉴权逻辑缺陷漏洞
06-29 7258
【API鉴权
java鉴权_3种常用鉴权方法原理与实现
weixin_36138462的博客
02-17 5993
学生一枚,作为学习和总结。如果有哪些不对的地方,还请指教cookie诞生HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。为解决这个问题,有了cookie出现cookie介绍Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),(通知浏览器设置一下cookie),浏览器自动会将Cookie以进行保存(以key/value...
JAVA面试题分享一百一十三:鉴权方式?
之乎者也·的博客
11-30 1195
鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的正确与否。
java filterinterceptor的区别
06-02
Java中的FilterInterceptor都是用于拦截请求并进行处理的技术,但它们之间有一些区别。 Filter是Servlet规范中的概念,它是基于函数回调的方式实现的,可以在请求被处理之前或之后对请求和响应进行修改和处理。Filter可以拦截所有的请求,并且可以根据请求的URL或其他条件进行不同的处理。Filter通常被用于处理一些通用的操作,如登录验证、字符编码转换、防止XSS攻击等。 Interceptor是Spring框架中的概念,它是基于Java的AOP编程实现的,可以在请求被处理之前或之后对请求和响应进行修改和处理。Interceptor可以对Controller层的请求进行拦截,并且可以根据请求的URL或其他条件进行不同的处理。Interceptor通常被用于处理一些业务逻辑的操作,如权限验证、日志记录、性能监控等。 总的来说,Filter是Servlet容器提供的技术,它可以拦截所有的请求,而Interceptor是Spring框架提供的技术,它只能拦截Controller层的请求。另外,Interceptor还可以与Spring的AOP技术结合使用,实现更加灵活的业务处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值