java 权限url权限_filter设计缺陷导致的权限绕过

最新推荐文章于 2023-10-27 09:50:43 发布
最新推荐文章于 2023-10-27 09:50:43 发布
阅读量411 收藏 2
点赞数
文章标签: java 权限url权限
本文探讨了Java中基于filter的权限控制设计缺陷,包括非标准化绕过、URL截断绕过、URL编码绕过以及Spring Web动态Controller追加/的绕过方式。通过分析这些绕过手段,提出了修复建议,如使用安全的路径获取方法,进行接口标准化处理,使用ESAPI的规范化方法,并推荐使用成熟的权限控制框架。
摘要由CSDN通过智能技术生成

  • 1.1 权限控制的本质

一般来说,为了防止越权操作,通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后判断当前URI/URL是否具有相应的业务权限。

  • 1.2 常见权限控制的实现

一般情况下,通常是获取到当前URI/URL,然后跟需要鉴权的接口进行⽐对,或者直接结合startsWith()或者endsWith()方法,设置对应的校验名单。

例如下⾯的过滤器实现,以/login开头的不需要校验(登陆业务每个人都可以访问),所有.do/.action结尾的接⼝均需要做登陆检查,防止未授权访问等。

String uri = request.getRequestURI();if(uri.endsWith(".do")||uri.endsWith(".action")) {
    //检测当前用户是否登陆User user =(User) request.getSession().getAttribute("user");if(user==null|| "".equals(user)) {
    errorResponse(response, paramN, "未授权访问");return;}}

但是,在Java中获取当前request中的URI/URL通常会使用request.getRequestURL()和request.getRequestURI()这两个方法,但是如果没有进⾏相关的处理的话,有可能导致权限控制绕过的风险。

  • 1.3 绕过方式

当权限过滤器获取当前request中的URI/URL使用request.getRequestURL()和request.getRequestURI()这两个方法时,可以考虑以下三种⽅式进行权限绕过:

  • 1.3.1 非标准化绕过

  • 相关场景:

例如/system/login开头的接口是白名单,不需要进行访问控制(登陆页面所有人都可以访问),其他接⼝都需要进⾏登陆检查,防止未授权访问:

String uri = request.getRequestURI();if(uri.startsWith("/system/login")) {
    //登陆接口设置⽩白名单filterChain.doFilter(request, response);}else if(uri.endsWith(".do")||uri.endsWith(".action")) {
    //检测当前⽤户是否登陆User user =(User) request.getSession().getAttribute("user");if(user==null|| "".equals(user)) {
    errorResponse(response, paramN, "未授权访问");return;}}

  • 相关效果如下:

当未登录直接访问UserInfoSearch.do接口时,显示未授权访问:

99b4c2d9e022231b88c3f5cd87033d00.png

  • 相关原理:

中间件在进⾏解析时,会对我们URI中的../进行相关处理从⽽得到相关的servlet。也就是说尝试对我们访问的URL引

最低0.47元/天 解锁文章
weixin_39676348
关注
JavaWeb之利用Filter实现权限拦截小实战【过滤器】
一键难忘的博客
09-04 2039
4.在web目录下新建sys文件,里新建error和success文件,分别对应登录成功,和登录失败的提示语句。1.新建类servletLogin,继承类Httpservlet,重写方法doGet和doPost。2.写注销方法,新建类servletlogout,继承类HttpServlet,重写doGet方法“2.重写其三个方法:创建和销毁不看,看中间的doFilter方法。5.启动服务器,重新访问2.2发现的BUG,发现BUG被解决!判断username的值,进行处理,重定向到不同的页面。
Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现
smellycat000的专栏
11-12 1877
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介Apache Shiro作为Java框架,可被用于身份认证、授权等任务。整合Apache S...
Shiro权限管理框架(三):Shiro中权限过滤器的初始化流程和实现原理
十指波课堂的博客
08-07 277
初始化流程ShiroFilterFactoryBean实现了FactoryBean接口,那么Spring在初始化的时候必然会调用ShiroFilterFactoryBean的getObject()获取实例,而ShiroFilterFactoryBean也在此时做了一系列初始化操作。关于FactoryBean的介绍和实现方式另外也记了一篇:https://www.guitu18.com/post/2...
shiro框架如何设置不过滤指定url
u012131610的博客
09-04 1万+
不过滤指定url意思就是遇到指定的url直接放行,不跳转到登录页面,比如通过调某一个方法检测服务是否正常就需用用到该配置。 配置方式也比较简单,shiro.xml中添加相应的配置即可 比如遇到path为“/e74050c07f7d315d3ffc73df398ff9c5”的请求直接放行,可以如下配置: <!-- Shiro Filter --> <bean id="sh...
shiro踏坑(一)——loginUrl不拦截问题
LuckyToMeet-Dian叶
02-26 1万+
    想想大家应该也遇到过整合了ssm+shiro后,直接进入需要经过认证授权的页面,但是loginUrl居然不拦截,直接放行进来,虽然拿不到数据。但是这也是不能忍的。    下面是我的shiro整合spring的配置文件:&lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3...
SpringBoot2 整合 Shiro 基于URL权限校验
tplina的博客
07-25 2438
概念模型 用户与角色之间是一对一关联,角色与资源之间是多对多关联(关联关系用中间表来维护) Resource里面存储着系统的url路径 模型字段都很简单,SQL及Model类就不再贴出来了. 1.引入依赖 <dependency> <groupId>org.apache.shiro</groupId> ...
红队专题-Perm权限提升与维持隐匿Privilege Escalation
最新发布
aming小老弟
10-27 933
权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
JAVA面试、笔试题
weixin_45689111的博客
04-20 1万+
@[TOC]目录 JAVA面试、笔试题 @目录 一、 CoreJava部分 7 1. java中有哪些基本类型? 7 2. java反射 7 3. 易错,理解题 7 4. Java有几种创建对象的方法? 8 java为什么能够跨平台运行? 8 整型数据转换成字符串的方式? 8 String是基本数据类型吗?我可不可以写个类继承于String? 8 谈谈&和&&的区别? 8 Switch语句里面的条件可不可以是byte、long、String?使用时候还应注意什么? 8 short
Java八股文
earn_est的博客
03-07 1万+
我是2022届双非软件工程应届生,目前在准备秋招,总结了一篇不错的八股文,如果你正好需要可以关注一下,共同学习;超链接如下: Java后端八股文(CSDN不再同步) 语雀地址 Hello, interviewer. My name is . I graduated from Zhengzhou University of Light Industry, majoring in software engineering and I will graduate next year. I have exper
java代码审计--基于分号绕过漏洞
02-01 561
这里使用莫CMS的审计,基于;的绕过漏洞是java里带有的漏洞。中的函数,在tomcat下会存在漏洞。最终结果就是绕过鉴权的拦截器。可以看到对.ico是白名单。
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
SpringBoot+Shiro瞎折腾——不使用Shiro的Filter模式
pur_e的专栏
11-05 3689
文章目录一、总结:Subject其实是绑定线程的二、手写实现简单验证1. Shiro配置2.使用三、再总结 &amp;amp;nbsp; &amp;amp;nbsp; &amp;amp;nbsp; &amp;amp;nbsp;想要实现基于SpringBoot+Shiro+Vue的前后端分离技术,网上教程还是不少的,在实现成功后,多问了个问题,就有了这篇文章。问题如标题,如果不使用Shiro提供的Filter模式会怎么样: 前后端分离,如果没用RESTf...
shiro拦截器的两种配置,以及shiro拦截器不拦截的问题
热门推荐
weixin_43990136的博客
03-07 2万+
先讲一下shiro拦截器不拦截的问题 原因:shiro拦截器是基于session(会话)拦截的,如果成功登陆服务器,且不关闭浏览器的窗口,就会一直默认为登陆状态。 所以给人一种没拦截的假象 shiro拦截器配置,一种是通过xml文件配置,一种是通过实现类来配置 实现类的配置麻烦一点: 可以参考https://blog.csdn.net/ybt_c_index/article/details/787...
shiro中的请求参数
PassionAndCreativity的博客
09-18 1849
ini配置部分和之前的相比将多出对url部分的配置。      shiro.ini代码   [main]  #默认是/login.jsp  authc.loginUrl=/login  roles.unauthorizedUrl=/unauthorized  perms.unauthorizedUrl=/unauthorized  [users]  zhang=123,admi
06SpringMVC:拦截器
niannujiao6的博客
11-25 204
拦截器 SpringMVC的处理器拦截器类似于Servlet中的过滤器Filter,用于对处理器进行预处理和后处理,开发者可以自定义来实现特定的功能。 过滤器与拦截器的区别: 过滤器: servlet规范中的一部分,任何JavaWeb工程都可以使用 在url-pattern中配置了/*之后,可以对所有要访问的资源进行拦截 拦截器: 拦截器是SpringMVC框架自己的,只能使用了SpringMVC框架的工程才能使用 拦截器只会拦截访问的控制器方法,如果访问的是jsp 或/html 或/css或 /i
shiro学习笔记——shiro拦截器与url匹配规则
m0_67402341的博客
08-24 959
过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤。
SpringMVC 整合shiro 实现url动态权限验证(二)
xcc_2269861428的博客
07-13 1273
前言:上一篇文章讲述了如何使用shiro进行登录认证,其实主要的实现还是自定义Realm,继承AuthorizingRealm实现其中的 doGetAuthenticationInfo方法。上一篇文章链接:https://blog.csdn.net/xcc_2269861428/article/details/95107167 这篇文章主要实现url权限的认证,也就是roles的验证 如图:...
java filter 跳过_java – Spring安全绕过URL或过滤器
weixin_42356475的博客
02-24 1224
我有一个只暴露REST API的Spring Boot应用程序.我需要保护它并且我使用基于令牌的方法 – 特别是JWT.到目前为止,这是我实施的://// The Spring Security configuration class@EnableGlobalAuthenticationpublic class SecurityConfig extends WebSecurityConfigure...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值