一个 Spring Boot 的小Trick-

沙海

3180
文章

2
评论

2021年5月29日05:20:41Java评论112字数 5883阅读19分36秒阅读模式

摘要

一个 Spring Boot 的小Trick Ruilin 小哈学Java

一个 Spring Boot 的小Trick

Ruilin 小哈学Java 文章源自JAVA秀-https://www.javaxiu.com/26975.html

点击上方蓝色“小哈学Java”，选择“设为星标”回复“资源”获取独家整理的学习资料！

文章源自JAVA秀-https://www.javaxiu.com/26975.html

分享一个Spring Boot中关于%2e的小Trick。文章源自JAVA秀-https://www.javaxiu.com/26975.html

先说结论，当Spring Boot版本在小于等于2.3.0.RELEASE的情况下，alwaysUseFullPath为默认值false，这会使得其获取ServletPath，所以在路由匹配时相当于会进行路径标准化包括对%2e解码以及处理跨目录，这可能导致身份验证绕过。文章源自JAVA秀-https://www.javaxiu.com/26975.html

而反过来由于高版本将alwaysUseFullPath自动配置成了true从而开启全路径，又可能导致一些安全问题。文章源自JAVA秀-https://www.javaxiu.com/26975.html

这里我们来通过一个例子看一下这个Trick，并分析它的原因。文章源自JAVA秀-https://www.javaxiu.com/26975.html

首先我们先来设置Sprin Boot版本文章源自JAVA秀-https://www.javaxiu.com/26975.html

<parent>    <groupId>org.springframework.boot</groupId>    <artifactId>spring-boot-starter-parent</artifactId>    <version>2.3.0.RELEASE</version>    <relativePath/> <!-- lookup parent from repository --></parent>

编写一个Controller文章源自JAVA秀-https://www.javaxiu.com/26975.html

@RestControllerpublic class httpbinController {    @RequestMapping(value = "no-auth", method = RequestMethod.GET)    public String noAuth() {        return "no-auth";    }     @RequestMapping(value = "auth", method = RequestMethod.GET)    public String auth() {        return "auth";    }}

接下来配置对应的Interceptor来实现对除no-auth以外的路由的拦截文章源自JAVA秀-https://www.javaxiu.com/26975.html

@Configurationpublic class WebMvcConfig implements WebMvcConfigurer {    @Override    public void addInterceptors(InterceptorRegistry registry) {        registry.addInterceptor(handlerInterceptor())                //配置拦截规则                .addPathPatterns("/**");    }     @Bean    public HandlerInterceptor handlerInterceptor() {        return new PermissionInterceptor();    }}@Componentpublic class PermissionInterceptor implements HandlerInterceptor {    @Override    public boolean preHandle(HttpServletRequest request,                             HttpServletResponse response,                             Object handler) throws Exception {        String uri = request.getRequestURI();        uri = uri.replaceAll("//", "/");        System.out.println("RequestURI: "+uri);        if (uri.contains("..") || uri.contains("./") ) {            return false;        }        if (uri.startsWith("/no-auth")){            return true;        }        return false;    }}

由上面代码可以知道它使用了getRequestURI来进行路由判断。通常你可以看到如startsWith，contains 这样的判断方式，显然这是不安全的，我们绕过方式由很多比如..或..;等，但其实在用startsWith来判断白名单时构造都离不开跨目录的符号.. 那么像上述代码这种情况又如何来绕过呢?答案就是%2e发起请求如下文章源自JAVA秀-https://www.javaxiu.com/26975.html

$ curl -v "http://127.0.0.1:8080/no-auth/%2e%2e/auth"*   Trying 127.0.0.1...* TCP_NODELAY set* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)> GET /no-auth/%2e%2e/auth HTTP/1.1> Host: 127.0.0.1:8080> User-Agent: curl/7.64.1> Accept: */*>< HTTP/1.1 200< Content-Type: text/plain;charset=UTF-8< Content-Length: 4< Date: Wed, 14 Apr 2021 13:22:03 GMT<* Connection #0 to host 127.0.0.1 left intactauth* Closing connection 0

RequestURI输出为文章源自JAVA秀-https://www.javaxiu.com/26975.html

RequestURI: /no-auth/%2e%2e/auth

可以看到我们通过%2e%2e绕过了PermissionInterceptor的判断，同时匹配路由成功，很显然应用在进行路由匹配时会进行路径标准化包括对%2e解码以及处理跨目录即如果存在/../则返回上一级目录。文章源自JAVA秀-https://www.javaxiu.com/26975.html

我们再来切换Spring Boot版本再来看下文章源自JAVA秀-https://www.javaxiu.com/26975.html

<version>2.3.1.RELEASE</version>

发起请求，当然也是过了拦截，但没有匹配路由成功，返回404文章源自JAVA秀-https://www.javaxiu.com/26975.html

$ curl -v "http://127.0.0.1:8080/no-auth/%2e%2e/auth"*   Trying 127.0.0.1...* TCP_NODELAY set* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)> GET /no-auth/%2e%2e/auth HTTP/1.1> Host: 127.0.0.1:8080> User-Agent: curl/7.64.1> Accept: */*>< HTTP/1.1 404< Vary: Origin< Vary: Access-Control-Request-Method< Vary: Access-Control-Request-Headers< Content-Length: 0< Date: Wed, 14 Apr 2021 13:17:26 GMT<* Connection #0 to host 127.0.0.1 left intact* Closing connection 0

RequestURI输出为文章源自JAVA秀-https://www.javaxiu.com/26975.html

RequestURI: /no-auth/%2e%2e/auth

可以得出结论当Spring Boot版本在小于等于2.3.0.RELEASE的情况下，其在路由匹配时会进行路径标准化包括对%2e解码以及处理跨目录，这可能导致身份验证绕过。那么又为什么会这样？文章源自JAVA秀-https://www.javaxiu.com/26975.html

在SpringMVC进行路由匹配时会从DispatcherServlet开始，然后到HandlerMapping中去获取Handler，在这个时候就会进行对应path的匹配。文章源自JAVA秀-https://www.javaxiu.com/26975.html

我们来跟进代码看这个关键的地方org.springframework.web.util.UrlPathHelper#getLookupPathForRequest(javax.servlet.http.HttpServletRequest) 这里就出现有趣的现象，在2.3.0.RELEASE中alwaysUseFullPath为默认值false文章源自JAVA秀-https://www.javaxiu.com/26975.html

一个 Spring Boot 的小Trick 文章源自JAVA秀-https://www.javaxiu.com/26975.html

img文章源自JAVA秀-https://www.javaxiu.com/26975.html

而在2.3.1.RELEASE中alwaysUseFullPath被设置成了true文章源自JAVA秀-https://www.javaxiu.com/26975.html

一个 Spring Boot 的小Trick 文章源自JAVA秀-https://www.javaxiu.com/26975.html

img文章源自JAVA秀-https://www.javaxiu.com/26975.html

这也就导致了不同的结果，一个走向了getPathWithinApplication而另一个走向了getPathWithinServletMapping 在getPathWithinServletMapping 中会获取ServletPath，ServletPath会对uri标准化包括先解码然后处理跨目录等，这个很多讲Tomcat uri差异的文章都提过了，就不多说了。而getPathWithinApplication中主要是先获取RequestURI然后解码但之后没有再次处理跨目录，所以保留了..因此无法准确匹配到路由。到这里我们可以看到这两者的不同，也解释了最终出现绕过情况的原因。文章源自JAVA秀-https://www.javaxiu.com/26975.html

那么Trick的具体描述就成了当Spring Boot版本在小于等于2.3.0.RELEASE的情况下，alwaysUseFullPath为默认值false，这会使得其获取ServletPath，所以在路由匹配时相当于会进行路径标准化包括对%2e解码以及处理跨目录，这可能导致身份验证绕过。文章源自JAVA秀-https://www.javaxiu.com/26975.html

而这和Shiro的CVE-2020-17523中的一个姿势形成了呼应，只要高版本Spring Boot就可以了不用非要手动设置alwaysUseFullPath文章源自JAVA秀-https://www.javaxiu.com/26975.html

$ curl -v http://127.0.0.1:8080/admin/%2e*   Trying 127.0.0.1...* TCP_NODELAY set* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)> GET /admin/%2e HTTP/1.1> Host: 127.0.0.1:8080> User-Agent: curl/7.64.1> Accept: */*>< HTTP/1.1 200< Content-Type: text/plain;charset=UTF-8< Content-Length: 10< Date: Wed, 14 Apr 2021 13:48:33 GMT<* Connection #0 to host 127.0.0.1 left intactadmin page* Closing connection 0

因为混合使用Spring Framework依赖时用户需要明确配置而Spring Boot会自动配置Spring Framework，所以在使用Spring Boot的时候官方提供了shiro-spring-boot-web-starter依赖来支持UrlPathHelper（https://shiro.apache.org/spring-boot.html）这样可以解决这类问题，上面这种姿势也就不存在了。对于非Spring Boot应用你可以通过这种方式（https://shiro.apache.org/spring-framework.html#web-applications）来配置UrlPathHelper。感兴趣的可以再看看说不定有额外收获。文章源自JAVA秀-https://www.javaxiu.com/26975.html

话说回来，可是为什么在高版本中alwaysUseFullPath会被设置成true呢？这就要追溯到org.springframework.boot.autoconfigure.web.servlet.WebMvcAutoConfiguration.WebMvcAutoConfigurationAdapter#configurePathMatch 在spring-boot-autoconfigure-2.3.0.RELEASE中文章源自JAVA秀-https://www.javaxiu.com/26975.html

一个 Spring Boot 的小Trick 文章源自JAVA秀-https://www.javaxiu.com/26975.html

在spring-boot-autoconfigure-2.3.1.RELEASE中文章源自JAVA秀-https://www.javaxiu.com/26975.html

一个 Spring Boot 的小Trick 文章源自JAVA秀-https://www.javaxiu.com/26975.html

为什么要这样设置？我们查看git log这里给出了答案。文章源自JAVA秀-https://www.javaxiu.com/26975.html

一个 Spring Boot 的小Trick 文章源自JAVA秀-https://www.javaxiu.com/26975.html

https://github.com/spring-projects/spring-boot/commit/a12a3054c9c5dded034ee72faac20e578b5503af文章源自JAVA秀-https://www.javaxiu.com/26975.html

当Servlet映射为”/”时，官方认为这样配置是更有效率的，因为需要请求路径的处理较少。文章源自JAVA秀-https://www.javaxiu.com/26975.html

配置servlet.path可以通过如下，但通常不会这样配置除非有特殊需求。文章源自JAVA秀-https://www.javaxiu.com/26975.html

spring.mvc.servlet.path=/test/

所以最后，当Spring Boot版本在小于等于2.3.0.RELEASE的情况下，alwaysUseFullPath为默认值false，这会使得其获取ServletPath，所以在路由匹配时相当于会进行路径标准化包括对%2e解码以及处理跨目录，这可能导致身份验证绕过。而高版本为了提高效率对alwaysUseFullPath自动配置成了true从而开启全路径，这又造就了Shiro的CVE-2020-17523中在配置不当情况下的一个利用姿势，如果代码中没有提供对此类参数的判断支持，那么就可能会存在安全隐患。其根本原因是Spring Boot自动配置的内容发生了变化。文章源自JAVA秀-https://www.javaxiu.com/26975.html

来源 | http://rui0.cn/archives/1643文章源自JAVA秀-https://www.javaxiu.com/26975.html

1. PO,VO,DAO,BO,POJO 之间的区别你懂吗？2. 一文搞定并发面试题3. 超神了！因为一次接口超时，我一路排查到了内核代码4. 电商金额计算的 4 个坑，千万注意了！最近面试BAT，整理一份面试资料《Java面试BATJ通关手册》，覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。获取方式：点“在看”，关注公众号并回复 Java 领取，更多内容陆续奉上。

文章有帮助的话，在看，转发吧。文章源自JAVA秀-https://www.javaxiu.com/26975.html

谢谢支持哟 (*^__^*）文章源自JAVA秀-https://www.javaxiu.com/26975.html

继续阅读