本文主要是介绍vulhub中Apache Shiro 认证绕过漏洞复现(CVE-2010-3863),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
在Apache Shiro 1.1.0以前的版本中,shiro 进行权限验证前未对url 做标准化处理,攻击者可以构造/、//、/./、/../ 等绕过权限验证
环境启动后,访问http://your-ip:8080即可查看首页。
漏洞复现
直接请求管理页面/admin,无法访问,将会被重定向到登录页面:
构造恶意请求/./admin,即可绕过权限校验,访问到管理页面:
这篇关于vulhub中Apache Shiro 认证绕过漏洞复现(CVE-2010-3863)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
