这里写自定义目录标题

  • Shiro 授权绕过 (CVE-2022-32532)
    • 描述:
    • 绕过方式
    • 详细步骤

Shiro 授权绕过 (CVE-2022-32532)

描述:

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

1.9.1 之前的 Apache Shiro,RegexRequestMatcher 可能被错误配置为在某些 servlet 容器上被绕过。在正则表达式中使用带有 . 的 RegExPatternMatcher 的应用程序可能容易受到授权绕过。

绕过方式

/permit/any
token:4ra1n
/permit/a%0any可绕过

详细步骤

1)直接访问发现404


有上图中两个接口
2)
尝试访问any接口

3)绕过方式一

4)绕过方式二

目前不是很明白这个漏洞如何去利用,有无大佬给我解释下,是指所有的接口都可以通过这种方式绕过认证吗?

【Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)-漏洞复现实战——关注紫灵小姐姐不踩坑】相关推荐

  1. 【rpcbind漏洞111端口入侵实战指南--关注紫灵小姐姐不踩坑】

    111端口rpcbind漏洞 最近扫描一个内网的ip,发现有一个不常见的端口开着,服务是rpcbind,上网一查还真是有漏洞. 该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻 ...

  2. Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现

    Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现 0x01 漏洞简介 Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证.授权. ...

  3. [ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)

  4. Shiro学习总结(3)——Apache Shiro身份认证

    身份验证,即在应用中谁能证明他就是他本人.一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明. 在shiro中,用户需要提供principals (身份)和cre ...

  5. struts2漏洞监测_Apache Shiro身份验证绕过漏洞风险提示

    漏洞公告 2020年8月17日,安恒应急响应中心监测发现Apache Shiro官方更新发布了1.6.0之前版本存在身份验证绕过的漏洞公告,对应CVE编号:CVE-2020-13933,相关链接: h ...

  6. Shiro身份认证---转

    目录 1. Shro的概念 2. Shiro的简单身份认证实现 3. Shiro与spring对身份认证的实现 前言: Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境 ...

  7. 【认证绕过】NACOS身份认证绕过漏洞分析

    前言 工作中遇到一个nacos服务认证绕过的问题,在此总结一下漏洞原因. 一.nacos简介 官方文档描述: Nacos 致力于帮助您发现.配置和管理微服务.Nacos 提供了一组简单易用的特性集,帮 ...

  8. Shiro身份认证授权原理

    shiro在应用程序中的使用是用Subject为入口的, 最终subject委托给真正的管理者ShiroSecurityMannager Realm是Shiro获得身份认证信息和来源信息的地方(所以这 ...

  9. 烽火狼烟丨VMware Workspace ONE Access身份验证绕过、本地提权漏洞风险提示

    1.漏洞概述 近日,WebRAY安全服务产品线监测到VMware官方发布安全公告,修复了两个存在于VMware Workspace ONE Access产品的漏洞. VMware认证绕过漏洞(CVE- ...

最新文章

  1. python默认数据类型转换_Python 数据类型转换
  2. Filemanager 的使用
  3. 超详细SQLMap使用攻略及技巧分享
  4. 修改场景默认pawn的方法
  5. 如何将拷贝过来的数据 *.ibd 文件生效
  6. SQL Server 2017 AlwaysOn AG 自动初始化(十二)
  7. [转]项目管理有感之一 沟通
  8. java xml收文转对象_Springmvc发送json数据转Java对象接收
  9. android studio后端写在哪里_c++写的在终端上的2048游戏
  10. python---python3 获取当前路径及os.path.dirname的使用;os.path.abspath(__file__)用法及意义
  11. java 水仙花数问题(java50道经典编程题)
  12. autocad java api,autocad接口api
  13. 车牌识别系统论文python_车牌识别系统的设计与实现毕业论文
  14. “萌新”商家应该如何选择电商直播平台呢?
  15. Android :RxJava学习笔记之Single、Completable以及Maybe
  16. 西安交大计算机考研分数线2020院线,2020西安交通大学考研复试分数线已公布
  17. 键盘录入一个字符串,统计该字符串中的大写字母、小写字母、数字字符和其他字符分别有多少个 例如,键盘录入abcABCD12345!@#$%,输出结果为:小写字母有3个,大写字母有4个,数字字符有5个,
  18. C语言0和0.0f的区别
  19. 若问杭州何处好,此中听得野莺啼——关于杭州
  20. tensorflow框架精细讲解(一)

热门文章

  1. 系统和环境(建模与仿真)
  2. GBASE 8a MPP EXplain extended
  3. 【院士等重磅嘉宾齐聚珠海】第二届人工智能与工业设计国际会议 (AIID 2022)
  4. Oracle——表空间、用户、权限、角色
  5. google-hacking
  6. AppleParty(苹果派)v3 支持 App Store 新定价机制 - 批量配置自定价格和销售范围
  7. RK988键盘切换蓝牙模式
  8. 《现代密码学》学习笔记——第三章 分组密码 [三]分组密码的运行模式
  9. 露营不在朋友圈,快乐在诗和远方
  10. 安防4G摄像头视频流媒体服务器EasyNVR关于视频集成自我展示web端嵌入视频广场的流程