【Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)-漏洞复现实战——关注紫灵小姐姐不踩坑】
这里写自定义目录标题
- Shiro 授权绕过 (CVE-2022-32532)
- 描述:
- 绕过方式
- 详细步骤
Shiro 授权绕过 (CVE-2022-32532)
描述:
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
1.9.1 之前的 Apache Shiro,RegexRequestMatcher 可能被错误配置为在某些 servlet 容器上被绕过。在正则表达式中使用带有 . 的 RegExPatternMatcher 的应用程序可能容易受到授权绕过。
绕过方式
/permit/any
token:4ra1n
/permit/a%0any可绕过
详细步骤
1)直接访问发现404
有上图中两个接口
2)
尝试访问any接口
3)绕过方式一
4)绕过方式二
目前不是很明白这个漏洞如何去利用,有无大佬给我解释下,是指所有的接口都可以通过这种方式绕过认证吗?
【Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)-漏洞复现实战——关注紫灵小姐姐不踩坑】相关推荐
- 【rpcbind漏洞111端口入侵实战指南--关注紫灵小姐姐不踩坑】
111端口rpcbind漏洞 最近扫描一个内网的ip,发现有一个不常见的端口开着,服务是rpcbind,上网一查还真是有漏洞. 该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻 ...
- Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现
Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现 0x01 漏洞简介 Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证.授权. ...
- [ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)
- Shiro学习总结(3)——Apache Shiro身份认证
身份验证,即在应用中谁能证明他就是他本人.一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明. 在shiro中,用户需要提供principals (身份)和cre ...
- struts2漏洞监测_Apache Shiro身份验证绕过漏洞风险提示
漏洞公告 2020年8月17日,安恒应急响应中心监测发现Apache Shiro官方更新发布了1.6.0之前版本存在身份验证绕过的漏洞公告,对应CVE编号:CVE-2020-13933,相关链接: h ...
- Shiro身份认证---转
目录 1. Shro的概念 2. Shiro的简单身份认证实现 3. Shiro与spring对身份认证的实现 前言: Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境 ...
- 【认证绕过】NACOS身份认证绕过漏洞分析
前言 工作中遇到一个nacos服务认证绕过的问题,在此总结一下漏洞原因. 一.nacos简介 官方文档描述: Nacos 致力于帮助您发现.配置和管理微服务.Nacos 提供了一组简单易用的特性集,帮 ...
- Shiro身份认证授权原理
shiro在应用程序中的使用是用Subject为入口的, 最终subject委托给真正的管理者ShiroSecurityMannager Realm是Shiro获得身份认证信息和来源信息的地方(所以这 ...
- 烽火狼烟丨VMware Workspace ONE Access身份验证绕过、本地提权漏洞风险提示
1.漏洞概述 近日,WebRAY安全服务产品线监测到VMware官方发布安全公告,修复了两个存在于VMware Workspace ONE Access产品的漏洞. VMware认证绕过漏洞(CVE- ...
最新文章
- python默认数据类型转换_Python 数据类型转换
- Filemanager 的使用
- 超详细SQLMap使用攻略及技巧分享
- 修改场景默认pawn的方法
- 如何将拷贝过来的数据 *.ibd 文件生效
- SQL Server 2017 AlwaysOn AG 自动初始化(十二)
- [转]项目管理有感之一 沟通
- java xml收文转对象_Springmvc发送json数据转Java对象接收
- android studio后端写在哪里_c++写的在终端上的2048游戏
- python---python3 获取当前路径及os.path.dirname的使用;os.path.abspath(__file__)用法及意义
- java 水仙花数问题(java50道经典编程题)
- autocad java api,autocad接口api
- 车牌识别系统论文python_车牌识别系统的设计与实现毕业论文
- “萌新”商家应该如何选择电商直播平台呢?
- Android :RxJava学习笔记之Single、Completable以及Maybe
- 西安交大计算机考研分数线2020院线,2020西安交通大学考研复试分数线已公布
- 键盘录入一个字符串,统计该字符串中的大写字母、小写字母、数字字符和其他字符分别有多少个 例如,键盘录入abcABCD12345!@#$%,输出结果为:小写字母有3个,大写字母有4个,数字字符有5个,
- C语言0和0.0f的区别
- 若问杭州何处好,此中听得野莺啼——关于杭州
- tensorflow框架精细讲解(一)