Apache Shiro 认证绕过漏洞【CVE-2020-1957】

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。

Apache Shiro 1.5.2之前的版本，由于Shiro拦截器和requestURI的匹配流程与Web框架的拦截器的匹配流程有差异，攻击者构造一个特殊的http请求，可以绕过Shiro的认证，未授权访问敏感路径。

此漏洞有两种攻击方式，第一种攻击方式适用于Shiro < 1.5.0版本，由于Shiro 1.5.0版本修复补丁考虑不全面，导致补丁绕过，出现了第二种攻击方式，适用于Shiro < 1.5.2版本。

环境搭建

访问8080端口查看首页

这个应用中对URL权限的配置如下：

@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
    DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
    chainDefinition.addPathDefinition("/login.html", "authc"); // need to accept POSTs from the login form
    chainDefinition.addPathDefinition("/logout", "logout");
    chainDefinition.addPathDefinition("/admin/**", "authc");
    return chainDefinition;
}

直接请求管理页面/admin/，无法访问，将会被重定向到登录页面：

构造恶意请求/xxx/..;/admin/，即可绕过权限校验，访问到管理页面：

原理

参考：Apache Shiro权限绕过漏洞CVE-2020-1957

本漏洞起源于 SHIRO-682。在Spring中，/resource/xx与/resource/xx/都会被截成/resource/xx以访问相应资源；在shiro中，/resource/xx与/resource/xx/被视为两个不同路径。所以在Spring集成shiro时，只需要在访问路径后添加/就存在绕过权限校验的可能。

分析我们请求的URL在整个项目的传入传递过程。在使用了shiro的项目中，是我们请求的URL(URL1),进过shiro权限检验(URL2), 最后到springboot项目找到路由来处理(URL3)。漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL，这就导致我们能绕过shiro的校验，直接访问后端需要首选的URL。

修复建议：Apache Shiro最新版本已经修复此漏洞，请受漏洞影响的用户下载最新版本，下载链接：http://shiro.apache.org/download.html