Java getRequestURI 可能出现的问题
写个简单的jsp页面
<%
String keykey = request.getParameter("keykey");
out.println("getContextPath:"+request.getContextPath()+"<br>");
out.println("getServletPath:"+request.getServletPath()+"<br>");
out.println("getRequestURI:"+request.getRequestURI()+"<br>");
out.println("getRequestURL:"+request.getRequestURL()+"<br>");
out.println("getQueryString:"+request.getQueryString()+"<br>");
%>
请求如下路径
http://pickmea.com:8081////;/examples;//;//;;//getreq.jsp?keykey=aasfasfa&asf=131
各个路径大有不同,
getContextPath,获取当前的相对路径,不带/;
getServletPath,获取当前文件名称
getRequestURI,获取当前url的路径文件,不加参数,带/;
getRequestURL,全路径加域名,不带参数。
getQueryString,获取参数
由于获取到的有带分号有不带的,如果通过此路径进行鉴权,那就有可能出现问题。tomcat会忽略分号所以还是可能请求成功,fuzz下都有哪些字符。
字符列表
;
/
?
:
@
=
&
<
>
"
#
%
{
}
|
\
^
~
[
]
`
发现在目录后边仿造一个.的目录也是会被忽略
上原有目录中加入;也是会被忽略,那么..;/
等于../
,通过此方法可绕过过滤../
。会忽略掉;号及后面的东西即..;aasa/
等于../
getRequestURI 漏洞案例
权限绕过
https://mp.weixin.qq.com/s/uGGl-rPChF8D2KF-BVvr-w
修了俩次终于把getRequestURI换成了getServletPath。
https://github.com/ldbfpiaoran/springboot-acl-bypass
预防
- 路径校验中尽量用getServletPath
- 匹配用/*匹配
Pickmea,lets do it!