SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题

最新推荐文章于 2023-08-24 19:30:49 发布
最新推荐文章于 2023-08-24 19:30:49 发布
阅读量317 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shark1357/article/details/101006449
版权

问题描述:

框架使用的是SpringMVC、SpringSecurity,在做权限拦截的时候发现一个问题,假设对请求路径/user/detail进行了权限拦截,在访问/user/detail.abc的时候却能有权限访问

问题原因:

SpringMVC框架会将“/user/detail.abc”与RequestMapping中的“/user/detail”进行正则匹配,匹配规则为:/user/detail.*,因此请求进来时能将/user/detail.abc交给/user/detail的Controller进行处理

解决办法:

SpringMVC支持路径匹配规则,RequestMappingHandlerMapping类中有个useSuffixPatternMatch属性,通过该值判断是否需要进行结尾字符串的匹配。对应的xml配置为

<mvc:annotation-driven>
    <mvc:path-matching suffix-pattern="false" />  <!--如果没有该项配置,则默认为true-->
  </mvc:annotation-driven>

这样配置之后,你再通过“/user/detail.abc”来访问时,就会报404或405的错误了,从而达到权限拦截的目的

shark1357
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考
Q54665642ljf的博客
09-08 6261
在此之前,已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析,它和CVE-2022-22978漏洞产生原理上,本质是一样的。在分析这两个漏洞后,结合今年kcon议题《自动化API漏洞Fuzz实战》,产生了对漏洞挖掘关注点的一些思考。
springmvc控制权限
qq_42588782的博客
07-14 404
首先第一步在pom文件中添加jar包 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-taglibs</artifactId> <version>...
Java - SpringBoot整合Shiro之二(权限授权和认证跳过)
Zong_0915的博客
11-14 4422
再看这篇文章之前,可以先过一遍SpringBoot整合Shiro,附带源码。这篇文章为该篇文章的进阶内容。目前为止,我在整合Shirojwt:自定义的JwtFilter过滤器,拦截所有的请求/**。anno:默认实现,。无需认证也可以访问。/login。logout:默认实现,。就是登出的时候的配置。/logout。本文没做相关的实现。不管他。我们在本环节只关注第二个。实际开发中,肯定是有一些接口是不需要经过登录认证的。我举个例子,你在看斗鱼直播的时候,在没登录的情况下,菜单数据也能出来、直播也能看。
工作总结——绕过系统权限检测调用特定接口
autumn_xl的专栏
03-27 1396
问题描述: 在日常使用中framework的一些接口是不想给第三方非system app使用的。这样做不但安全,也防止第三方会做一些流氓的事情。以android 5.1.1为例,无论是在调用ams中forceStopPackage还是pms中的addPreferredActivity在调用前都会check调用方的 permission,这就导致的不该调用的人调用后被抛出异常。但是如何能绕过这个ch
spring mvc,框架实现权限控制
weixin_30673611的博客
03-22 96
需求:客户代理的每个http请求都要进行权限验证,如果无权限不能调用服务接口. 实现思路: 由拦截器统一拦截所有请求,在拦截器的preHandle方法中通过传入的request参数获取到将要调用的实际类与方法,用户ticket等信息 每个要进行权限控制的方法都要添加注脚标明其权限码,如:@funcCode("1001") 拦截器获取方法的注脚,与redis中该用户的权限码清单比较.如果有就...
SpringMVC Restful api接口实现的代码
08-29
SpringMVC Restful API 接口实现的代码 SpringMVC 是一个基于 Java 的 Web 应用程序框架Restful API 是一种基于资源的架构风格,使用简单、易于扩展、易于理解等特点,广泛应用于现代系统服务中。在 Java 平台中...
springmvc框架介绍共7页.pdf.zip
11-25
springmvc框架介绍共7页.pdf.zip
SpringMVC框架下文件管理系统RESTful接口
05-12
为前段提供操作后台上传的磁盘空间的RESTful接口,主要完成对指定路径的文件列出,新建文件,修改文件,删除文件以及文件夹等基本操作
springmvc-base-restful-04.rar
最新发布
01-24
springmvc-base-restful-04.rar
解决SpringMVC同时接收Json和Restful时Request里有Map的问题
10-18
今天小编就为大家分享一篇解决SpringMVC同时接收Json和Restful时Request里有Map的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
基于springMVCrestful风格接口前后端使用说明
11-18
基于springMVCrestful风格接口前后端使用说明,方便前后端协作开发
SpringMVC接口权限拦截器的实现
weixin_34072159的博客
03-06 547
为什么80%的码农都做不了架构师?>>> ...
SpringMVC拦截器:解决项目中接口(url)访问权限问题(通过url不能随意访问controller层)
CallmeMaybe
12-08 4327
层次关系 拦截器实现HandlerInterceptor接口 package com.bybo.aca.web.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.web.serv...
Spring Security身份认证绕过漏洞风险通告
m0_67402341的博客
07-29 554
当SpringSecurity中使用RegexRequestMatcher进行权限配置,且规则中使用带点号的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。当SpringSecurity中使用RegexRequestMatcher进行权限配置,且规则中使用带点号(.)的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。未经授权的远程攻击者可利用此漏洞构造数据包绕过身份认证,导致配置的权限验证失效。...
SpringMVC——核心技术:拦截器(一个/多个、权限拦截器)
胜天半子祁同伟
04-08 8658
SpringMVC——核心技术:拦截器(一个/多个、权限拦截器)
自定义SpringMVC框架以及权限控制
沐晨~的博客
07-19 481
1、首先配置tomcat加载的web.xml文件 <servlet> <servlet-name>mymvc</servlet-name> <servlet-class>com.lwq.edu.mvcframework.servlet.MyDispatcherServlet</servlet-class> <init-param> <param-name>contextConfigLoca
SpingMVC拦截器-用户登录权限控制分析
weixin_54048131的博客
08-24 532
功能写到那,写到inter...,控制器里面,专门验证一下,页面有没有进行登录。重点我们如何选择对那些资源进行放行:要一个exlude。
SpringMVC】| SpringMVC拦截器
m0_61933976的博客
05-12 2068
SpringMVC】| SpringMVC拦截器
Spring Security通配符路由绕过漏洞(CVE-2023-20860)
murphysec的博客
03-23 4976
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。 在受影响版本中,当Spring Security使用mvcRequestMatcher配置了**作为前缀的pattern时,其与Spring MVC的匹配逻辑存在差异,可能导致鉴权绕过
springmvc restful框架
04-06
Spring MVC是一个基于Java的MVC框架,它提供了用于创建Web应用程序的强大且灵活的...总的来说,Spring MVC Restful框架是一种简单、灵活、可扩展的Web服务开发框架,它可以帮助开发者快速构建高质量的RESTful Web服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值