java 权限url权限_filter设计缺陷导致的权限绕过

最新推荐文章于 2023-10-23 12:57:45 发布
VIP文章 最新推荐文章于 2023-10-23 12:57:45 发布
阅读量362 收藏 2
点赞数
文章标签: java 权限url权限

  • 1.1 权限控制的本质

一般来说,为了防止越权操作,通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后判断当前URI/URL是否具有相应的业务权限。

  • 1.2 常见权限控制的实现

一般情况下,通常是获取到当前URI/URL,然后跟需要鉴权的接口进行⽐对,或者直接结合startsWith()或者endsWith()方法,设置对应的校验名单。

例如下⾯的过滤器实现,以/login开头的不需要校验(登陆业务每个人都可以访问),所有.do/.action结尾的接⼝均需要做登陆检查,防止未授权访问等。

String uri = request.getRequestURI();if(uri.endsWith(".do")||uri.endsWith(".action")) {
    //检测当前用户是否登陆User user =(User) request.getSession().getAttribute("user");if(user==null|| "".equals(user)) {
    errorResponse(response, paramN, "未授权访问");return;}}

但是,在Java中获取当前request中的URI/URL通常会使用request.getRequestURL()和request.getRequestURI()这两个方法,但是如果没有进⾏相关的处理的话,有可能导致权限控制绕过的风险。

  • 1.3 绕过方式

当权限过滤器获取当前request中的URI/URL使用request.getRequestURL()和request.getRequestURI()这两个方法时,可以考虑以下三种⽅式进行权限绕过:

  • 1.3.1 非标准化绕过

  • 相关场景:

例如/system/login开头的接口是白名单,不需要进行访问控制(登陆页面所有人都可以访问),其他接⼝都需要进⾏登陆检查,防止未授权访问:

String uri = request.getRequestURI();if(uri.startsWith("/system/login")) {
    //登陆接口设置⽩白名单filterChain.doFilter(request, response);}else if(uri.endsWith(".do")||uri.endsWith(".action")) {
    //检测当前⽤户是否登陆User user =(User) request.getSession().getAttribute("user");if(user==null|| "".equals(user)) {
    errorResponse(response, paramN, "未授权访问");return;}}

  • 相关效果如下:

当未登录直接访问UserInfoSearch.do接口时,显示未授权访问:

99b4c2d9e022231b88c3f5cd87033d00.png

  • 相关原理:

中间件在进⾏解析时,会对我们URI中的../进行相关处理从⽽得到相关的servlet。也就是说尝试对我们访问的URL引入..

最低0.47元/天 解锁文章
weixin_39676348
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
shiro框架如何设置不过滤指定url
u012131610的博客
09-04 1万+
不过滤指定url意思就是遇到指定的url直接放行,不跳转到登录页面,比如通过调某一个方法检测服务是否正常就需用用到该配置。 配置方式也比较简单,shiro.xml中添加相应的配置即可 比如遇到path为“/e74050c07f7d315d3ffc73df398ff9c5”的请求直接放行,可以如下配置: <!-- Shiro Filter --> <bean id="sh...
Shiro权限管理框架(三):Shiro中权限过滤器的初始化流程和实现原理
十指波课堂的博客
08-07 259
初始化流程ShiroFilterFactoryBean实现了FactoryBean接口,那么Spring在初始化的时候必然会调用ShiroFilterFactoryBean的getObject()获取实例,而ShiroFilterFactoryBean也在此时做了一系列初始化操作。关于FactoryBean的介绍和实现方式另外也记了一篇:https://www.guitu18.com/post/2...
06SpringMVC:拦截器
niannujiao6的博客
11-25 171
拦截器 SpringMVC的处理器拦截器类似于Servlet中的过滤器Filter,用于对处理器进行预处理和后处理,开发者可以自定义来实现特定的功能。 过滤器与拦截器的区别: 过滤器: servlet规范中的一部分,任何JavaWeb工程都可以使用 在url-pattern中配置了/*之后,可以对所有要访问的资源进行拦截 拦截器: 拦截器是SpringMVC框架自己的,只能使用了SpringMVC框架的工程才能使用 拦截器只会拦截访问的控制器方法,如果访问的是jsp 或/html 或/css或 /i
shiro配置不被拦截路径,不生效踩得坑记录
qq_48721706的博客
03-16 4571
请求的requestURI的路径是 /gaw-job/test/test3 所以我很自然的就配置shiroConfig的不拦截路径为 然后一直不生效,后来断点到shiro路径匹配的时候 shiro匹配的路径request.getServletPath() 而我们上方的request.getRequestURI()(就是/gaw-job/test/test3)等于 request.getContextPath() + request.getServletPath() request.getContextPa
java中使用Filter控制用户登录权限具体实例
09-05
java中使用Filter控制用户登录权限具体实例,需要的朋友可以参考一下
javaweb设计filter粗粒度权限控制代码示例
08-29
主要介绍了javaweb设计filter粗粒度权限控制代码示例,小编觉得还是挺不错的,需要的朋友可以参考。
使用Filter实现登录权限验证
08-25
主要为大家详细介绍了使用Filter实现登录权限验证,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
FIR_Filter_FIRfilter_java_dsp_filter_fir_
09-28
Java DSP FIR Filter experiment
http请求绕过Filter的实现实例
08-30
主要介绍了http请求绕过Filter的实现实例的相关资料,需要的朋友可以参考下
绕过Android域名白名单校验的方法
键盘的起始页
02-24 618
而AbstractHierarchicalUri又是继承自Uri,所以很容易想到,通过反射调用HierarchicalUri这个私有构造函数,传入构造好的 authority 和 path, 创建一个任意可控的Uri实例。然而,对于第一个链接,浏览器会自动把反斜杠 "\" 纠正为正斜杠 "/"对于第二个链接,反斜杠 "\" 会以 URL 编码形式保留而无法触发方法1。事实上,有大量的开发者因为不了解这个性质,认为传入的 url 已经是”正常“通过。,才是被攻击的 Activity 拉起的实际地址。
shiro设置url过滤配置详解
m0_67390788的博客
08-24 663
perms(权限): /admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms[“user:add:*,user:modify:*”],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https。版权声明:本文为博主原创文章,转载请附上博文链接!
shiro拦截器的两种配置,以及shiro拦截器不拦截的问题
热门推荐
weixin_43990136的博客
03-07 2万+
先讲一下shiro拦截器不拦截的问题 原因:shiro拦截器是基于session(会话)拦截的,如果成功登陆服务器,且不关闭浏览器的窗口,就会一直默认为登陆状态。 所以给人一种没拦截的假象 shiro拦截器配置,一种是通过xml文件配置,一种是通过实现类来配置 实现类的配置麻烦一点: 可以参考https://blog.csdn.net/ybt_c_index/article/details/787...
SSM整合shiro相关配置
zc的博客
11-07 1337
SSM整合shiro相关配置 首先要在pom.xml文件中添加shiro相关依赖shiro-all,这个依赖包含了shiro-web,shiro-core,shiro-spring,shiro-ehcache…等一系列jar包,所以这里只用添加这一个依赖就够了 &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp;lt;/
Java-Web】利用Session和Filter进行权限管理
m0_65679465的博客
11-28 1111
在使用浏览器的时候,浏览器如何保存我们的个人信息呢?有两种方法,一个是Cookie,一个是Session,区别在于,前者是在客户端保存,即我们的电脑或手机等设备上本地保存;后者是在服务器端保存,不需要占用我们本地的空间。
java防止横向越权得方法_横向越权纵向越权安全漏洞的解决
weixin_36086687的博客
02-27 2810
一.什么是横向越权和纵向越权.1.横向越权:攻击者想访问与他权限相同的用户,例如:在忘记密码回答问题成功后,会跳到重设密码的页面,这个时候如果用户随意填用户名和密码,而且数据库也刚刚好存在这个用户时,那么就会修改其他用户的密码,这就是横向越权2.纵向越权:低级别攻击者想访问高级别用户的资源。二.怎么解决1.横向越权:在回答问题时,成功的时候,会在服务端根据用户名生成一个token(随机数和用户名的...
shiro入门-Shiro在web中内置的Filter过滤器和配置路径讲解 [文档]
小哇
03-23 1487
核心过滤器类:DefaultFilter, 配置哪个路径对应哪个拦截器进行处理 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache...
SpringBoot+Shiro瞎折腾——不使用Shiro的Filter模式
pur_e的专栏
11-05 3563
文章目录一、总结:Subject其实是绑定线程的二、手写实现简单验证1. Shiro配置2.使用三、再总结 &amp;amp;nbsp; &amp;amp;nbsp; &amp;amp;nbsp; &amp;amp;nbsp;想要实现基于SpringBoot+Shiro+Vue的前后端分离技术,网上教程还是不少的,在实现成功后,多问了个问题,就有了这篇文章。问题如标题,如果不使用Shiro提供的Filter模式会怎么样: 前后端分离,如果没用RESTf...
Java拦截器(Interceptor)和过滤器(Filter)实例详解
最新发布
帅帅气气的黑猫警长
10-23 3468
过滤器和拦截器的区别,以及使用代码使用案例。
用原生java写个Filter实现用户登录校验和权限校验
09-11
### 回答1: 可以先实现一个简单的Filter,用来校验用户的登录状态和权限,具体的实现步骤如下:1. 实现一个Filter类,实现Filter接口,覆盖doFilter方法,在方法中实现用户登录校验和权限校验的逻辑。2. 配置web.xml文件,配置Filter和要校验的URL,同时配置Filter的初始参数,如登录页面URL等。3. 创建一个Filter实例,并将其配置到web.xml文件中,完成Filter的配置。4. 启动服务器,Filter就会根据web.xml文件中的配置,实现用户登录校验和权限校验的功能。 ### 回答2: 用户登录校验和权限校验是Web应用开发中非常常见的功能之一。在Java Web应用中,可以使用原生Java编写Filter来实现这个功能。 FilterJava Servlet规范提供的一种组件,可以对请求进行拦截和处理。下面是一个用原生Java编写的登录校验和权限校验的Filter的示例: 首先,需要创建一个类来实现Filter接口,并重写其doFilter方法,该方法将在每一个请求被执行时被调用。在doFilter方法中,我们可以对请求进行相关的校验和处理。 ```java public class AuthenticationFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 进行用户登录校验 boolean isLoggedIn = checkUserLoggedIn(httpRequest); if (!isLoggedIn) { httpResponse.sendRedirect("/login"); // 未登录则跳转到登录页面 return; } // 进行权限校验 boolean hasPermission = checkUserPermission(httpRequest); if (!hasPermission) { httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied"); // 没有权限则返回403错误 return; } chain.doFilter(request, response); // 放行请求 } // 校验用户是否已登录 private boolean checkUserLoggedIn(HttpServletRequest request) { // 实现具体的登录校验逻辑,比如判断Session中是否存在登录信息 // 返回一个boolean值表示是否已登录 } // 校验用户是否有权限访问资源 private boolean checkUserPermission(HttpServletRequest request) { // 实现具体的权限校验逻辑,比如判断用户角色是否具备访问权限 // 返回一个boolean值表示是否有权限 } } ``` 然后,在web.xml文件中配置该Filter,指定需要被该Filter拦截的URL模式: ```xml <filter> <filter-name>AuthenticationFilter</filter-name> <filter-class>com.example.AuthenticationFilter</filter-class> </filter> <filter-mapping> <filter-name>AuthenticationFilter</filter-name> <url-pattern>/*</url-pattern> // 拦截所有URL </filter-mapping> ``` 以上代码是一个简单的示例,实际应用中可能需要根据具体需求进行一些调整和优化。这个Filter可以在用户每次请求时拦截并进行用户登录校验和权限校验,从而实现这两个功能的自动化处理。 ### 回答3: 要用原生Java写一个Filter实现用户登录校验和权限校验,可以按照以下步骤进行实现: 1. 创建一个Java类,命名为LoginFilter,实现javax.servlet.Filter接口。 2. 在LoginFilter类中,实现doFilter方法,该方法接收三个参数:ServletRequest request, ServletResponse response, FilterChain chain。此方法会在每次请求前后被调用。 3. 在doFilter方法中,首先获取用户的登录信息,可以通过从request对象中获取session或者cookie等方式来获取。 4. 如果用户没有登录信息,则将请求重定向到登录页面,或者返回相应的错误提示,用于告知用户需要先登录才能访问页面。 5. 如果用户已经登录,则进一步校验用户的权限。可以通过获取用户的角色或者拥有的权限列表来进行校验。 6. 如果用户没有足够的权限,则同样将请求重定向到相应的错误页面,或者返回相应的错误提示。 7. 如果用户通过了登录和权限的校验,可以通过调用chain.doFilter(request, response)方法,继续执行其他Filter或者Servlet。 8. 最后,需要将LoginFilter类配置在web.xml文件中,以便让容器在每个请求过程中都能调用该过滤器。 通过以上步骤,我们就可以通过原生Java写一个Filter来实现用户登录校验和权限校验。当用户请求一个需要登录和权限的页面时,该Filter会进行相应的校验,并根据校验结果决定是否允许用户访问页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值