Apache Shiro Authentication Bypass Vulnerability (CVE-2010-3863)

漏洞简介

Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。shiro框架直观、易用,同时也能提供健壮的安全性。
在Apache Shiro1.1.0以前的版本中,shiro进行权限验证前未对url做标准化处理,攻击者可以构造/、//、/.../等进行绕过

漏洞复现

使用vulhub靶场进行漏洞复现

cd /shiro/cve-2010-3863/
docker-compose up -d
docker ps -a 
docker-compose config

img

直接访问/admin,无法访问,将会被重定向到登录页面。抓包查看重定向过程
img

构造恶意请求/.admin,即可绕过权限校验,访问到管理页面。抓包查看过程:
img

img

posted @   kalixcn  阅读(53)  评论(0编辑  收藏  举报
相关博文:
· Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
· CVE-2020-17526
· Apache Shiro 认证绕过漏洞(CVE-2010-3863)
· Apache Shiro 认证绕过漏洞(CVE-2020-1957)
· Apache Shiro 身份验证绕过漏洞 (CVE-2020-1957)
阅读排行:
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
点击右上角即可分享
微信分享提示
AI FOR CODE 大赛