Spring Boot 中关于 %2e 的 坑,希望你不要遇到
作者 | Ruilin
来源 | http://rui0.cn/archives/1643
分享一个Spring Boot中关于%2e的小Trick。
先说结论,当Spring Boot版本在小于等于2.3.0.RELEASE的情况下,alwaysUseFullPath
为默认值false,这会使得其获取ServletPath,所以在路由匹配时相当于会进行路径标准化包括对%2e
解码以及处理跨目录,这可能导致身份验证绕过。
而反过来由于高版本将alwaysUseFullPath
自动配置成了true从而开启全路径,又可能导致一些安全问题。
这里我们来通过一个例子看一下这个Trick,并分析它的原因。
首先我们先来设置Sprin Boot版本
<parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.3.0.RELEASE</version><relativePath/> <!-- lookup parent from repository -->
</parent>
编写一个Controller
@RestController
public class httpbinController {@RequestMapping(value = "no-auth", method = RequestMethod.GET)public String noAuth() {return "no-auth";}@RequestMapping(value = "auth", method = RequestMethod.GET)public String auth() {return "auth";}
}
接下来配置对应的Interceptor来实现对除no-auth以外的路由的拦截
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(handlerInterceptor())//配置拦截规则.addPathPatterns("/**");}@Beanpublic HandlerInterceptor handlerInterceptor() {return new PermissionInterceptor();}
}@Component
public class PermissionInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request,HttpServletResponse response,Object handler) throws Exception {String uri = request.getRequestURI();uri = uri.replaceAll("//", "/");System.out.println("RequestURI: "+uri);if (uri.contains("..") || uri.contains("./") ) {return false;}if (uri.startsWith("/no-auth")){return true;}return false;}
}
由上面代码可以知道它使用了getRequestURI来进行路由判断。通常你可以看到如startsWith
,contains
这样的判断方式,显然这是不安全的,我们绕过方式由很多比如..
或..;
等,但其实在用startsWith
来判断白名单时构造都离不开跨目录的符号..
那么像上述代码这种情况又如何来绕过呢?答案就是%2e
发起请求如下
$ curl -v "http://127.0.0.1:8080/no-auth/%2e%2e/auth"
* Trying 127.0.0.1...
* TCP_NODELAY set
* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)
> GET /no-auth/%2e%2e/auth HTTP/1.1
> Host: 127.0.0.1:8080
> User-Agent: curl/7.64.1
> Accept: */*
>
< HTTP/1.1 200
< Content-Type: text/plain;charset=UTF-8
< Content-Length: 4
< Date: Wed, 14 Apr 2021 13:22:03 GMT
<
* Connection #0 to host 127.0.0.1 left intact
auth
* Closing connection 0
RequestURI输出为
RequestURI: /no-auth/%2e%2e/auth
可以看到我们通过%2e%2e
绕过了PermissionInterceptor的判断,同时匹配路由成功,很显然应用在进行路由匹配时会进行路径标准化包括对%2e
解码以及处理跨目录即如果存在/../
则返回上一级目录。
我们再来切换Spring Boot版本再来看下
<version>2.3.1.RELEASE</version>
发起请求,当然也是过了拦截,但没有匹配路由成功,返回404
$ curl -v "http://127.0.0.1:8080/no-auth/%2e%2e/auth"
* Trying 127.0.0.1...
* TCP_NODELAY set
* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)
> GET /no-auth/%2e%2e/auth HTTP/1.1
> Host: 127.0.0.1:8080
> User-Agent: curl/7.64.1
> Accept: */*
>
< HTTP/1.1 404
< Vary: Origin
< Vary: Access-Control-Request-Method
< Vary: Access-Control-Request-Headers
< Content-Length: 0
< Date: Wed, 14 Apr 2021 13:17:26 GMT
<
* Connection #0 to host 127.0.0.1 left intact
* Closing connection 0
RequestURI输出为
RequestURI: /no-auth/%2e%2e/auth
可以得出结论当Spring Boot版本在小于等于2.3.0.RELEASE的情况下,其在路由匹配时会进行路径标准化包括对%2e
解码以及处理跨目录,这可能导致身份验证绕过。那么又为什么会这样?
在SpringMVC进行路由匹配时会从DispatcherServlet开始,然后到HandlerMapping中去获取Handler,在这个时候就会进行对应path的匹配。
我们来跟进代码看这个关键的地方org.springframework.web.util.UrlPathHelper#getLookupPathForRequest(javax.servlet.http.HttpServletRequest)
这里就出现有趣的现象,在2.3.0.RELEASE中alwaysUseFullPath
为默认值false
而在2.3.1.RELEASE中alwaysUseFullPath
被设置成了true
这也就导致了不同的结果,一个走向了getPathWithinApplication
而另一个走向了getPathWithinServletMapping
在getPathWithinServletMapping
中会获取ServletPath,ServletPath会对uri标准化包括先解码然后处理跨目录等,这个很多讲Tomcat uri差异的文章都提过了,就不多说了。而getPathWithinApplication
中主要是先获取RequestURI然后解码但之后没有再次处理跨目录,所以保留了..
因此无法准确匹配到路由。到这里我们可以看到这两者的不同,也解释了最终出现绕过情况的原因。
那么Trick的具体描述就成了当Spring Boot版本在小于等于2.3.0.RELEASE的情况下,alwaysUseFullPath
为默认值false,这会使得其获取ServletPath,所以在路由匹配时相当于会进行路径标准化包括对%2e
解码以及处理跨目录,这可能导致身份验证绕过。
而这和Shiro的CVE-2020-17523中的一个姿势形成了呼应,只要高版本Spring Boot就可以了不用非要手动设置alwaysUseFullPath
$ curl -v http://127.0.0.1:8080/admin/%2e
* Trying 127.0.0.1...
* TCP_NODELAY set
* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)
> GET /admin/%2e HTTP/1.1
> Host: 127.0.0.1:8080
> User-Agent: curl/7.64.1
> Accept: */*
>
< HTTP/1.1 200
< Content-Type: text/plain;charset=UTF-8
< Content-Length: 10
< Date: Wed, 14 Apr 2021 13:48:33 GMT
<
* Connection #0 to host 127.0.0.1 left intact
admin page* Closing connection 0
因为混合使用Spring Framework依赖时用户需要明确配置而Spring Boot会自动配置Spring Framework,所以在使用Spring Boot的时候官方提供了shiro-spring-boot-web-starter依赖来支持UrlPathHelper(https://shiro.apache.org/spring-boot.html)这样可以解决这类问题,上面这种姿势也就不存在了。对于非Spring Boot应用你可以通过这种方式(https://shiro.apache.org/spring-framework.html#web-applications)来配置UrlPathHelper。感兴趣的可以再看看说不定有额外收获。
话说回来,可是为什么在高版本中alwaysUseFullPath
会被设置成true呢?这就要追溯到org.springframework.boot.autoconfigure.web.servlet.WebMvcAutoConfiguration.WebMvcAutoConfigurationAdapter#configurePathMatch
在spring-boot-autoconfigure-2.3.0.RELEASE中
在spring-boot-autoconfigure-2.3.1.RELEASE中
为什么要这样设置?我们查看git log这里给出了答案。
https://github.com/spring-projects/spring-boot/commit/a12a3054c9c5dded034ee72faac20e578b5503af
当Servlet映射为”/”时,官方认为这样配置是更有效率的,因为需要请求路径的处理较少。
配置servlet.path可以通过如下,但通常不会这样配置除非有特殊需求。
spring.mvc.servlet.path=/test/
所以最后,当Spring Boot版本在小于等于2.3.0.RELEASE的情况下,alwaysUseFullPath
为默认值false,这会使得其获取ServletPath,所以在路由匹配时相当于会进行路径标准化包括对%2e
解码以及处理跨目录,这可能导致身份验证绕过。而高版本为了提高效率对alwaysUseFullPath
自动配置成了true从而开启全路径,这又造就了Shiro的CVE-2020-17523中在配置不当情况下的一个利用姿势,如果代码中没有提供对此类参数的判断支持,那么就可能会存在安全隐患。其根本原因是Spring Boot自动配置的内容发生了变化。
往期推荐
面试官:作为架构师,请你谈谈Saas 应用如何搭建?
SpringBoot中微服务技术中进程间通信原理
Spring Boot 接入支付宝支付案例教程!
Spring Boot 中的Http接口调用只知道 RestTemplate?来试下 Retrofit !
Java中关于线程同步,你会用到的4个类
数据库消耗 CPU 最高的 sql 语句如何定位?
怎么样通过Nginx实现限流?
5个好用的开源网络监控工具
SpringBoot实现登录拦截的原理
keepalived实现Nginx双机热备
一行代码让你摆脱U盘完成局域网文件传输
Docker简易搭建 ElasticSearch 集群
Spring Boot 中关于 %2e 的 坑,希望你不要遇到相关推荐
- Spring Boot 中关于 %2e 的 Trick
作者 | Ruilin 来源 | http://rui0.cn/archives/1643 分享一个Spring Boot中关于%2e的小Trick. 先说结论,当Spring Boot版本在小于等于 ...
- spring boot中Excel文件下载踩坑大全
项目场景:Spring boot文件下载 调用接口下载spring boot工程的resources目录下的excel模板文件,非常常见的一个文件下载功能,但是却容易遇到很多坑,下面总结记录下. 问题 ...
- Spring Boot中使用JavaMailSender发送邮件
相信使用过Spring的众多开发者都知道Spring提供了非常好用的JavaMailSender接口实现邮件发送.在Spring Boot的Starter模块中也为此提供了自动化配置.下面通过实例看看 ...
- Spring Boot中使用PostgreSQL数据库
在如今的关系型数据库中,有两个开源产品是你必须知道的.其中一个是MySQL,相信关注我的小伙伴们一定都不陌生,因为之前的Spring Boot关于关系型数据库的所有例子都是对MySQL来介绍的.而今天 ...
- java中的controller_详解Spring Boot中Controller用法
Controller Controller是SpringBoot里最基本的组件,他的作用是把用户提交来的请求通过对URL的匹配,分配个不同的接收器,再进行处理,然后向用户返回结果.他的重点就在于如何从 ...
- Spring Boot中的一些常用配置介绍!
这篇教程将为你介绍Spring Boot 中的一些常用配置,比如:自定义 Banner.配置日志.关闭特定的自动配置等. 自定义Banner 在 Spring Boot 启动的时候会有一个默认的启动图 ...
- 在Spring Boot中加载初始化数据
文章目录 依赖条件 data.sql文件 schema.sql 文件 @sql注解 @SqlConfig 注解 在Spring Boot中加载初始化数据 在Spring Boot中,Spring Bo ...
- spring vaadin_在Spring Boot中使用Vaadin的简介
spring vaadin 介绍 Vaadin的工作方式依赖于服务器端渲染,因此可以自然地集成到诸如Spring之类的框架中. Vaadin的Spring集成已经存在了一段时间,并提供了用于在Spri ...
- 使用Spring Security在Spring Boot中进行缓存
在这篇文章中,我想分享一下O&B的一个团队的经验教训. 他们正在使用带有Spring Security的Spring Boot. 默认情况下,Spring Security保护的所有内容都将通 ...
最新文章
- R语言包_Matrix
- 一、 函数调用栈,执行上下文及变量对象
- RedisDesktopManager连接不上redis的解决方法
- WCF PeerChannel介绍
- python tkinter教程 博客园_python tkinter教程-事件绑定
- Window CE 6.0流驱动开发动态加载实验
- Linux故障之grub
- C++ 中数据类型互转
- 使用Lambda解决_inbound_nodes错误
- 项目管理工具四、有效管理的PDCA原则
- 通过 百度网盘 分享文件
- 逆水寒服务器维护多长时间,逆水寒11月8日更新维护 更新时间内容介绍
- RuntimeError CUDA environment is not correctly set up
- equal 源码剖析
- java--与君初相识之jdk的环境配置
- 第二证券|支持多子女购房、提高公积金贷款额度、发放限时补贴
- C语言中的switch详解
- 弘辽科技:如何分析买家秀是否优质?如何优化评价、买家秀?
- Spring事务管理-》Spring事务管理(annotation)
- JS-for...in/for...of
热门文章
- IPO融了个寂寞 不差钱的叮咚买菜还能烧多久?
- 串口通信协议数据处理二
- Python 英汉-汉英 词典脚本,可以安装到Linux命令中
- android+os+2.3版本闹钟下载,AlarmDroid闹钟
- 玩游戏也能学编程!少儿编程教育如何为中国AI时代“播种”?
- MixPad S超级智能开关产品的破解分析
- Haproxy + pacemaker + fence
- 大学生想做兼职应该怎么找,适合大学生的线上线下靠谱兼职推荐
- matlab中eig,Matlab中的eig函数和eigs函数的异同点 | 学步园
- qq撤回消息 服务器,话题|QQ、微信消息的撤回为什么是两分钟?