探究SpringWeb对于请求的处理过程

探究目的

在路径归一化被提出后,越来越多的未授权漏洞被爆出,而这些未授权多半跟spring自身对路由分发的处理机制有关。今天就来探究一下到底spring处理了什么导致了才导致鉴权被绕过这样严重的问题。

DispatcherServlet介绍

首先在分析spring对请求处理之前之前,首先需要了解DispatcherServlet,它是Spring MVC的核心,负责接收HTTP请求,并根据请求信息分发到相应的Controller进行处理。DispatcherServlet重要特性如下:

  • 前端控制器模式:在Spring MVC框架中,DispatcherServlet实现了前端控制器设计模式。这个模式的主要思想是提供一个中心点,所有的请求将先到达这个中心点,然后由它进行分发。这样可以帮助我们将请求处理流程中的公共逻辑集中处理,从而提高了代码的可维护性。

  • 请求分发:当DispatcherServlet接收到一个HTTP请求后,它会把请求分发给相应的处理器。这个分发的过程主要依赖HandlerMapping组件。HandlerMapping根据请求的URL找到对应的Controller。

  • 处理器适配:找到了正确的处理器之后,DispatcherServlet需要调用这个处理器的方法来处理请求。这个过程由HandlerAdapter负责。HandlerAdapter会调用处理器的适当方法,并将返回值包装成ModelAndView对象。

  • 视图解析:DispatcherServlet还负责将处理器返回的ModelAndView对象解析为实际的视图。这个过程由ViewResolver完成。视图解析器根据ModelAndView中的视图名和已配置的视图解析器来选择一个合适的视图。

Spring对于请求的处理顺序

在具体了解DispatcherServlet如何工作之前需要先了解java项目中各个组件对于url的处理顺序。

图片

看懂该图后,可以清晰地知道大多的路径归一化问题是因为鉴权的过滤器或者拦截器对于url的处理与spring最后对路由分发时的处理不一致,导致鉴权失败,从而可以未授权访问系统。下面就来看看springweb对url究竟是如何解析的

SpringWeb对于请求的处理过程

以springboot2.2x为例自己搭建一个springboot环境,创建好controller后在controller内部打断点。

在调用链中可以清晰地看到,spring对于url的分发确实是在filter之后,接下来

图片

从调用链可以看出在过完Filterchain链上所有的Filter后最后调用了DispatcherServlet的servlet方法。

这里牵扯到一个java的机制,(不想深入了解java的可以略过这段)首先servlet在ApplicationFilterChain.java的225行被反射赋值为DispatcherServlet对象。所以231行调用的是DispatcherServlet的service方法且传入的参数是ServletRequest,ServletResponse类型。但是在DispatcherServlet中并没有service方法,在DispatcherServlet的父类FrameworkServlet中也没有重写接收ServletRequest和ServletResponse的对象service方法,所以调用链到了上一级父类Httpservlet这个抽象类的service方法。Httpservlet中的service方法又调用了接收HttpServletRequest对象的service方法,该方法又被FrameworkServlet重写。故最后调用了FrameworkServlet中的service。完全符合上面的调用链顺序。这里比较绕,大家可以自己跟一下就明白了。网上有很多对于这里的介绍都是错误的,学安全嘛还是要刨根问底一下。源码如下

图片

图片

图片

接着可以看到FrameworkServlet的service方法中super调用了Httpservlet的service方法,值得注意的是在该方法中调用的doGet方法并不是Httpservlet的doGet方法,而是FrameworkServlet的doGet方法。

图片

图片

后面一直跟着调用链走,一直跟进到doDispatch方法。

在该方法中做了很多比较关键的处理。

首先处理了content-type为multipart的请求,后根据mappedHandler = getHandler(processedRequest);这行代码获取了已注册的handlerMappings。

图片

HandlerMapping是一个接口,负责将客户端的HTTP请求映射到对应的Controller。具体来说,它决定哪个Controller应该处理一个给定的请求。其中RequestMappingHandlerMapping用的最多,它支持@RequestMapping注解,并且通常与@Controller注解一起使用。

图片

所以具体处理的逻辑也就在getHandler方法中

图片

这段代码是从已注册的handlerMappings中获取一个HandlerExecutionChain对象,这个对象是对请求要执行的处理器以及其所有相关的拦截器的封装。跟进循环中的getHandler

图片

getHandlerInternal方法是将HTTP请求找到处理这个请求的Handler,然后将其包装到HandlerExecutionChain对象中,以便后续的处理流程。

到了这一步可以确定了,springweb对url的匹配是在getHandlerInternal之中,跟进getHandlerInternal看看其具体实现。

图片

看过路径归一化的师傅们应该到这里就很熟悉了,这个版本的函数叫getLookupPathForRequest,新版本叫initLookupPath。而这行代码也就是为了获得请求路径(通俗说就是我们请求的url)。看看他是怎么处理的

图片

很明显获取url的是 getRequestUri(request)

图片

跟入

图片

decodeAndCleanUriString这个函数可以说是大部分路径归一化问题的罪魁祸首,包括shiro 2020-1937也是因此而起。这三个函数我们挨个看看他到底干了什么

图片

removeSemicolonContentInternal主要做了两件事

1、移除所有的分号

2、移除分号后面直到下一个斜杠”/”之间的所有字符

图片

decodeRequestString函数是对url进行url解码,在这里也要强调一下,经常会看到有师傅用url编码进行鉴权绕过的情况也是由于此处的原因,在过滤器中其实并没有对编码过url进行处理,而到了spring分发路由的时候,却对他进行了解码从而绕过了认证。

顺便提一句,实战过程中可能会碰到Nginx的情况,Nginx也会对url进行一层解码。

图片

图片

getSanitizedPath把双/替换成单/

在此之中removeSemicolonContentInternal问题最大,由于前文处理的模型可以看到url先经过过滤器,如果过滤器中逻辑稍有不当,便有可能存在绕过鉴权的情况。

举个简单的例子

String requestUri =  request.getRequestURI();
If(requestUri.endsWith(“js”)){filterChain.doFilter(servletRequest, servletResponse);
}else{
return ;
}

这是一个常见的对静态文件不进行鉴权的过滤器,然而此时则可以通过/api/xxxxxx;js对该鉴权进行绕过。因为filter处理url时if是通过了if的逻辑,而到了spring的doDispatch中则由刚刚所述的处理,将其分发到了/api/xxxxxx正确对应的接口。

由此产生了很多鉴权问题,在filter之中对url处理稍有不慎变会导致该问题的产生。

再回到springweb对请求的处理,除了刚刚介绍的三个函数对请求的处理之外,还有个地方需要注意,在getLookupPathForRequest之中可以看到this.alwayUseFullPath。这个地方也是一个出现漏洞的点,在springboot2.3.0RELEASE之前spring是可以解析/api/a/../xxxx为/api/xxxx的,是因为this.alwayUseFullPath默认为false,而在springboot2.3.0RELEASE之后,this.alwayUseFullPath默认为true。将无法再解析/api/a/../xxxx,会直接认为该url是个路径,去匹配相应的controller。

图片

有始有终,刚刚只是解析获得了lookuppath也就是请求中的路径,之后再通过前文提到过的getHandlerInternal函数的lookupHandlerMethod对spring获取的url与controller中的url进行匹配。

放几张跟踪的图

图片

图片

图片

图片

图片

跟踪到最后还有个要注意的点,是关于后缀的匹配模式

图片

如果useSuffixPatternMatch为true,且spring配置文件中spring.mvc.pathmatch.use-suffix-pattern的值也为true(我的环境是springweb5.2图中为false)

图片

环境版本高,但是想实验的师傅可以自己配置一下

图片

Spring这时能解析/path/path.js

图片

在1.x版本的springboot和4.x版本的springweb中存在该情况。

该情况也会绕过很多鉴权过滤器,使过滤器误以为用户请求的是静态资源。

总结

常出现漏洞的点

1、removeSemicolonContentInternal函数对分号进行了相关处理导致绕过过滤器鉴权

2、decodeRequestString对url进行解码,此处也可能存在问题

3、在springboot2.3.0RELEASE之前alwayUseFullPath默认值为false,所以可能会导致"../","..;/"绕过鉴权的情况

4、springboot 1.x版本可以解析/path/path.js这类带有后缀的请求,可能造成鉴权绕过

参考链接

https://github.com/spring-projects/spring-framework/

https://forum.butian.net/share/2214

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/105948.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

服务器分析和监控

在当今数字化时代,对于网络流量的分析和监控变得越来越重要。本文将详细介绍如何利用HTTPS代理服务器来实现高效、安全且可靠的流量分析与监控功能,并提供具体操作步骤以及相关技巧。无论是企业需要优化网络性能还是个人用户,在遵循法规合规前…

C语言深入理解指针(非常详细)(五)

目录 回调函数qsort使用举例qsort函数的模拟实现sizeof和strlen的对比sizeofstrlensizeof和strlen的对比一道关于sizeof的题 回调函数 回调函数就是一个通过函数指针调用的函数 如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指…

Python之线程(二)

一、线程同步和互斥锁 同一个资源,多人想用?排队啊! 现实生活中,我们会遇到“同一个资源,多个人都想使用”的问题。 比如:教室里,只有一台电脑,多个人都想使用。天然的解决办法就是,在电脑旁边,大家排队。前一人使用完后,后一人再使用。再比如,上厕所排队。 二、线…

保姆级-微信小程序开发教程

一,注册微信小程序 如果你还没有微信公众平台的账号,请先进入微信公众平台首页,点击 “立即注册” 按钮进行注册。注册的账号类型可以是订阅号、服务号、小程序以及企业微信,我们选择 “小程序” 即可。 接着填写账号信息&#x…

打造高效的私密论坛网站:Cpolar内网穿透+HadSky轻量级搭建指南

文章目录 前言1. 网站搭建1.1 网页下载和安装1.2 网页测试1.3 cpolar的安装和注册 2. 本地网页发布2.1 Cpolar临时数据隧道2.2 Cpolar稳定隧道(云端设置)2.3 Cpolar稳定隧道(本地设置)2.4 公网访问测试 总结 前言 经过多年的基础…

小城市当程序员好不好?

在职业发展中,小城市和大城市都有各自的机会和挑战。在大城市,C#的应用比例可能相对较低,学习C可能有一定的难度,而学习Java最好有人指导。在小城市,机会相对较少,跳槽的选择也有限。然而,小城市…

说完 Java 的 Abstract 后再来说说接口 (interface )

如你对 Abstract 修饰的抽象类不是非常了解的话,请自行先考古下。 这篇文章需要对 Java 定义过的抽象类有一些基本的了解才可以。 抽象类和抽象方法 用 Abstract 修饰的类,叫做抽象类,那么用 Abstract 修饰的方法叫做抽象方法。 在 Java 中…

【软考】系统集成项目管理工程师(三)信息系统集成专业技术知识③

一、云计算 1、定义 通过互联网来提供大型计算能力和动态易扩展的虚拟化资源;云是网络、互联网的一种比喻说法。是一种大集中的服务模式。 2、特点 (1)超大规模(2)虚拟化(3)高可扩展性&…

字符检测专题第一期:OCR技术工业应用浅谈

难题不会做?扫一扫,题目、解析立马出现。寄快递需要输入信息?扫一扫,软件自动提取上传。身份证信息需要录入?扫一扫,立马精准识别。这些都是我们日常司空见惯的动作,而实现这一切正是得益于OCR技…

开开心心带你学习MySQL数据库之节尾篇

Java的JDBC编程 各种数据库,MySQL, Oracle, SQL Server在开发的时候,就会提供一组编程接口(API) API ~~ Application Programming Interface ~~ 应用程序编程接口 计算机领域里面的一个非常常见的概念, 给你个软件,你能对他干啥(从代码层次上的) 基于它提供的这些功能,就可以写…

thinkPhp5返回某些指定字段

//去除掉密码$db new UserModel();$result $db->field(password,true)->where("username{$params[username]} AND password{$params[password]}")->find(); 或者指定要的字段的数组 $db new UserModel();$result $db->field([username,create_time…

旅游复苏弹高OTA业绩,未来走势却有“U型曲线”与“抛物线”之变

文 | 螳螂观察 作者 | 易不二 经历了3年蛰伏,旅游业确实熬出头了,OTA也迎来了强势反弹。 自年初起就逐步恢复的旅游行业,经历了暑期小高潮后,正在逐步以强劲的复苏能力,为OTA们的期中财报增彩。 今年二季度&#x…