shiro-web CVE-2010-3863 路径绕过
💡
原文中文,约5300字,阅读约需13分钟。
📝
内容提要
本文分析了shiro-web的漏洞,指出浏览器在处理路径时未有效过滤,导致可通过篡改URL实现权限绕过。建议对含有../的路径进行规范化处理,以提高安全性。
🎯
关键要点
- shiro-web存在漏洞,浏览器未有效过滤路径,导致权限绕过。
- 攻击者可以通过篡改URL实现对受保护资源的访问。
- 建议对含有../的路径进行规范化处理,以提高安全性。
- shiro-web的请求处理流程中,未对URL进行过滤,直接匹配配置文件中的FilterChain。
- 修复建议是将带有../的路径规范化后再进行比较,确保安全性。
- shiro-1.1.0版本中添加了normalize函数来处理路径规范化。
- 漏洞分析中提到的payload示例展示了如何利用该漏洞进行攻击。
➡️
