一、Apache Shiro 简介
Apache Shiro 是一个强大且易用的 Java 安全框架,负责执行身份验证、授权、密码和会话管理。无论是最小的移动应用程序还是最大的网络和企业应用程序,都可以通过使用 Shiro 的 API 快速、轻松地实现安全功能。
二、Shiro权限绕过原因
Apache Shiro 是 Java 的安全管理框架,可与 Spring 框架一起使用。它通过拦截器来控制和拦截用户对资源的访问。常见的拦截器包括:
anon:匿名拦截器,用于允许未登录用户访问静态资源或移动端接口。authc:登录拦截器,要求用户登录认证后才能访问的资源。
三、Shiro权限绕过的限制条件:
- 网站同时使用 Shiro 和 Spring 框架。
- Shiro 版本必须满足特定的要求。
四、CVE-2016-6802
CVE-2016-6802是一个影响shiro安全框架的安全漏洞,特别是在shiro版本小于1.5.0的情况下。这个漏洞涉及shiro与spring的URI中末尾的斜杠(/)导致的权限绕过问题。
问题的关键在于shiro中的URL路径匹配机制。在shiro中,/*通配符可以匹配零个或多个字符串,而/-只能匹配到路径的最后一个部分。
具体来说,考虑这样的情况:
/admin- 由于/*可以匹配零个或多个字符串,可以匹配到
