URL混淆与权限绕过技术


一、漏洞原理
  1. 前后端路径解析逻辑不一致

    • 后端框架(Spring/Shiro)自动处理特殊字符(..///),但鉴权组件(如Filter)未规范化原始URI。

    • 示例/system/login/../admin被Filter误判为白名单路径/system/login,实际解析为/admin

  2. 后缀白名单机制

    • 对静态资源后缀(.json.css)的请求未校验权限,如/api/user.json绕过鉴权。
  3. 分隔符截断逻辑

    • 分号;分割参数导致后端忽略后续内容,如/admin;123仅校验/admin部分。

二、绕过技术分类
1. 资源后缀混淆
  • 静态后缀追加:
复制代码
 GET /admin/main.css HTTP/1.1  # 利用白名单绕过鉴权

动态参数伪装

复制代码
 GET /admin?callback=test.json HTTP/1.1  # 参数伪装为静态资源
2. 路径构造与编码
  • 目录遍历(../跳转):
复制代码
 GET /system/login/../../admin HTTP/1.1  # 结合白名单路径绕过

URL编码混淆

复制代码
 ​
 GET /system/%2e%2e/admin HTTP/1.1  # 编码`.`绕过过滤

多斜杠干扰

复制代码
 GET ///admin//user HTTP/1.1  # 后端解析为`/admin/user`,但Filter未匹配
3. 协议特性与分隔符利用
  • 分号截断:
复制代码
 GET /admin;%09/user HTTP/1.1  # 分号后内容被忽略

HTTP方法篡改

复制代码
 HEAD /admin HTTP/1.1  # 后端仅校验POST/PUT方法
4. 标头伪造与参数控制
  • X-Original-URL滥用:
复制代码
 GET /public-page HTTP/1.1  
 X-Original-URL: /admin  # 后端信任标头覆盖路径

参数提权

复制代码
 POST /user/update HTTP/1.1  
 { "role_id": 2 }  # 后端未校验客户端提交的权限参数

三、实战案例
  1. Shiro权限绕过

    • 漏洞场景:构造/admin;%09绕过路径匹配逻辑。

      Payload:

复制代码
 GET /admin;jsessionid=xxx HTTP/1.1  # 分号截断绕过鉴权

Spring Security配置缺陷

  • 漏洞场景antMatchers("/admin")未覆盖子路径,访问/admin//admin.json绕过。

  • 修复方案 :使用/admin/**或启用mvcMatchers严格匹配。

路径编码绕过

  • 攻击过程:
    复制代码
     GET /%2e%2e/etc/passwd HTTP/1.1  # URL编码绕过过滤
    • 结果:成功读取系统敏感文件。

四、防御策略
  1. 路径规范化处理

    • 使用request.getServletPath()替代getRequestURI(),避免解析差异。
  2. 统一鉴权框架

    • 强制RBAC模型校验,禁止依赖单一维度(如URL或方法)。
  3. 后缀白名单限制

    • 动态接口禁用.json.css等静态资源后缀。
  4. 输入过滤与编码

    • 拦截../;%u等高危字符,解码后二次校验。
  5. 日志与监控

    • 记录含非标头(如X-Original-URL)的请求,告警异常路径访问。

五、Fuzz字典与工具
  • 常用Payload:
复制代码
 ; . .. / // %2e %0a %0d %09 .json .css /..;/ /%2e%2e/
  • 自动化工具:

    • Burp Intruder:批量测试路径混淆组合。

    • FFuf:快速遍历后缀与编码变体。


核心总结

  1. 绕过技术核心

    • 利用分号截断、路径跳转、多斜杠干扰、编码混淆等手段制造前后端解析差异。

    • 伪造标头(如X-Original-URL)或参数篡改直接绕过权限校验。

  2. 框架特性风险

    • Shiro的分号解析逻辑、Spring Security的路径匹配缺陷是常见漏洞来源。
  3. 防御核心原则

    • 路径处理标准化、权限校验多维度化、输入过滤严格化。
相关推荐
智能化咨询29 分钟前
基于网络原理——HTTP/HTTPS的Web服务搭建与核心技术实践
网络·http·https
hunzi_13 小时前
搭建商城系统安全防护体系的核心要点与实施策略
安全·系统安全
似水流年 光阴已逝5 小时前
《网络安全实战:CC攻击(应用层)与DDoS攻击(网络层)的底层逻辑与防御体系》
安全·web安全·ddos·网络攻击·安全防护·cc攻击
迈威通信5 小时前
迈威通信从送快递角度教你分清网络二层和三层
网络·网络协议·智能路由器·信息与通信
杰克逊的日记5 小时前
如何将两个网段互相打通
网络·智能路由器
郝亚军6 小时前
根据Sec-WebSocket-Key计算Sec-WebSocket-Accept
网络·websocket·网络协议
Kaede66 小时前
深入探索 WebSocket:构建实时应用的核心技术
网络·websocket·网络协议
网络安全大学堂6 小时前
【网络安全入门基础教程】网络安全零基础学习方向及需要掌握的技能
网络·学习·安全·web安全·网络安全·黑客
wanhengidc6 小时前
云手机将要面临的挑战有哪些?
运维·网络·安全·游戏·智能手机
岚天start7 小时前
网络计算工具ipcalc详解
linux·运维·网络·网关·广播地址·掩码·ipcalc