当前位置：首页 > wzjs >正文

做网站编辑的发展方向晋升seo文章推广

wzjs 2025/8/15 23:34:59

做网站编辑的发展方向晋升,seo文章推广,外贸免费开发网站模板,免费网站建设知识漏洞概述 CVE-2020-1957 是 Apache Shiro 框架（1.5.2 之前版本）与 Spring 框架集成时存在的权限绕过漏洞。攻击者通过构造包含特殊字符（如 /、;）的 URL 路径，利用 Shiro 与 Spring 对路径解析的差异，绕过权…

漏洞概述

CVE-2020-1957 是 Apache Shiro 框架（1.5.2 之前版本）与 Spring 框架集成时存在的权限绕过漏洞。攻击者通过构造包含特殊字符（如 /、;）的 URL 路径，利用 Shiro 与 Spring 对路径解析的差异，绕过权限校验并访问受保护的资源。该漏洞可导致未授权访问敏感接口或数据，CVSS 评分为 7.5（高危）。

技术细节分析

1. 漏洞成因

路径解析差异：
Shiro 的 PathMatchingFilterChainResolver 使用简单的字符串匹配逻辑（基于 AntPathMatcher），而 Spring 的 AntPathMatcher 支持更灵活的路径标准化（如忽略结尾的 / 或解析 ; 后的内容）。例如：
- Shiro 将 /admin/ 和 /admin 视为不同路径，而 Spring 可能视为同一路径。
- Shiro 在处理分号 ; 时会截断后续内容（如 /admin;xxx 解析为 /admin），而 Spring 可能保留完整路径。
配置缺陷：
Shiro 的过滤器链配置若未覆盖所有可能的路径变体（如未配置 /admin/** 或 /admin/），攻击者可构造 /admin/ 或 /admin;xxx 绕过校验。

2. 源码分析

@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();chainDefinition.addPathDefinition("/admin/**", "authc"); // 要求认证return chainDefinition;
}

问题点：

路径匹配逻辑不严格：
Shiro 的 /admin/** 规则无法匹配 /admin/ 或 /admin;xxx 等变体路径，导致权限校验失效。
分号处理缺陷：
Shiro 的 decodeAndCleanUriString 方法会截断分号后的内容（如 /admin;../test 变为 /admin），而 Spring 可能解析为 /test，导致绕过。

攻击示例：

Payload 1：/admin/
- Shiro 校验路径 /admin/ 不匹配 /admin/**，放行请求。
- Spring 解析为 /admin，命中 AccountInfoController 的 /admin/ 接口。
Payload 2：/xxx;/../admin
- Shiro 截断分号后内容，校验路径 /xxx。
- Spring 解析为 /admin，成功访问受保护资源。

漏洞复现

1.环境搭建

vulhub搭建漏洞环境
在这里插入图片描述

2.访问`8080`端口

在这里插入图片描述

3.访问`/admin`,出现`302`

在这里插入图片描述

4.访问`/xxx/..;/admin/`

在这里插入图片描述
绕过权限校验，访问到管理页面

修复方案

升级 Shiro 版本：
升级至 Shiro 1.5.3+，修复了路径标准化和分号处理问题。

严格路径配置：
在 Shiro 规则中覆盖所有可能变体（如同时配置 /admin 和 /admin/）：

chainDefinition.addPathDefinition("/admin", "authc");
chainDefinition.addPathDefinition("/admin/", "authc");
chainDefinition.addPathDefinition("/admin/**", "authc");

自定义路径标准化过滤器：
强制规范化请求 URI（移除冗余 / 和 ;）：

public class NormalizedPathFilter extends OncePerRequestFilter {@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) {String uri = request.getRequestURI();String normalizedUri = UriUtils.normalizePath(uri).replaceAll(";.*", "");request = new NormalizedHttpServletRequestWrapper(request, normalizedUri);chain.doFilter(request, response);}
}