Секунда весны: перехватить URL-адрес легко обойти?
В нашем приложении java мы используем Spring security для управления полномочиями на основе ролей. Недавно нам стало известно, что делать с несколькими сопоставлениями сервлетов в web.xml эти проверки URL-адресов были легко обойдены. Однако, сократив до одного отображения сервлета, я все еще не уверен, что у нас есть правильные URL-адреса, потому что их смешно легко обойти. Например:
<sec:intercept-url pattern="/m/partner/list/**" access="hasRole('VIEW_ADMIN_PARTNER_LIST')"/>
На первый взгляд, это не позволяет пользователю с ролью VIEW_ADMIN_PARTNER_LIST загружать эту страницу... пока я не добавлю .html к концу. Тогда он загружается просто отлично. Или, если я добавлю .fff или любое другое расширение, оно работает. Итак, мы изменили шаблон на это:
<sec:intercept-url pattern="/m/partner/list**" access="hasRole('VIEW_ADMIN_PARTNER_LIST')"/>
Это отлично работает! Теперь, независимо от того, какое расширение я добавляю в конец URL-адреса, я все равно получаю ошибку 403. Но... добавление косой черты в конец URL-адреса полностью обходит безопасность. Не то, что мы хотим.
Похоже, что для реального внедрения реальной защиты шаблонов URL мы должны реализовать оба этих шаблона? Это меньше, чем идеально, потому что у нас есть более 75 правил безопасности URL, и их дублирование и синхронизация будут сложными. Есть ли лучший способ написать сопоставления шаблонов, или Spring безопасности по своей сути нарушена?
Изменение: вот соответствующая информация из нашего web.xml:
<servlet-mapping>
<servlet-name>myproject</servlet-name>
<url-pattern>/m/*</url-pattern>
</servlet-mapping>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2 ответа
Переключитесь на использование выражений регулярных выражений для выражения ваших URL-адресов, это дает вам большую гибкость, например:
<sec:http auto-config="true" use-expressions="true" path-type="regex">
<sec:intercept-url pattern="/m/partner/list.*" access="hasRole('VIEW_ADMIN_PARTNER_LIST')"/>
</sec:http>
Уведомление /** было заменено на .* Которое в мире регулярного выражения будет соответствовать чему угодно.
По умолчанию Spring Security использует шаблоны Ant. Образец, который вы ищете
/m/partner/list*/**
Это будет соответствовать
- /m/partner/list.html
- /m/partner/list/c.html
- /m/partner/list/c/d.html
- и т.д
Ниже приведен фрагмент кода Java, который можно использовать для тестирования шаблонов Ant (добавьте ant.jar в classpath)
import org.apache.tools.ant.types.selectors.SelectorUtils;
public class PatternTest {
public static void main(String [] args) {
System.out.println(SelectorUtils.matchPath("/a/b*/**", "/a/b"));
System.out.println(SelectorUtils.matchPath("/a/b*/**", "/a/b.html"));
System.out.println(SelectorUtils.matchPath("/a/b*/**", "/a/b/c.html"));
}
}
Ещё вопросы
- 0Написание функции в php
- 1принимать имена файлов с помощью командной строки в Java
- 1Показать список из списка viewbag в MVC4
- 1курсор падает с CursorIndexOutOfBoundsException
- 1Получение формата «java.io.IOException: Invalid keystore» после преобразования потока файлов .jks в строку в кодировке utf-8 и обратно в поток
- 0Зависимости библиотеки во время выполнения
- 1Кнопка «Создать новый проект» отображает экран создания не-Android проектов
- 1Не авторизован (401) при использовании Jira API с использованием Postman?
- 0Выбор элементов по «Shift + стрелка вверх»
- 0Преобразование изображения RGB в изображение HSI без использования функций opencv
- 0Magmi - проблема с загрузкой более одного изображения media_gallery
- 0jquery для удаления всех элементов z-index определенного значения
- 1флажок javascript проверил все элементы и все страницы
- 1Нужно конвертировать действительные значения даты и вывести ошибочные значения в Python
- 0Я хочу передать два объекта в одну переменную в Angular JS
- 0Как вызвать метод / функцию 50 раз в секунду
- 1Перестановка элементов между A и B для получения равенства сумм
- 0В mysql Как узнать количество воскресений за месяц
- 0как установить таймер в ppination php
- 1Как добавить пули в powerpoint
- 0Стек Mean.js - экспорт.читайте с помощью функций findOne и find, вызывайте в Angularjs
- 0Изменение ориентации вызывает изменение размера шрифта
- 0SQL несколько строк в одной строке
- 1Недоразумение с задачей, асинхронным ожиданием, примером с SendRequestAsync
- 1Регулярные выражения для добавления классов в HTML-теги
- 1Панды: ускорение группового
- 0Элемент блока был перенесен в следующий ряд
- 1Перевод с использованием Google Translate API
- 1Почему XhtmlTextWriter игнорирует пользовательские атрибуты?
- 0Тест вне диапазона
- 1ES6 Dyanmic Promise Цепочка из массива
- 1Чудновская формула в питоне
- 1Оператор переключателя в Javascript
- 1Как установить цвет текста JProgressBar независимо для нескольких JProgressBar без изменения внешнего вида
- 1Я не могу добавить ярлыки на мою круговую диаграмму
- 1Windows Phone - любой шаблон дизайна формы?
- 0PHP-SQL Подготовленные операторы с переменным числовым именем таблицы [дубликаты]
- 0Конвертировать массив php в гораздо меньший json?
- 1Tkinter: Можно ли встроить поля ввода в текстовый абзац, чтобы выполнить задачу закрытия?
- 0XPath YQL получать только определенные столбцы
- 0Соединение AngularJS и CodeIgniter (вызовы GET работают, но POST нет)
- 1Android: отображение неверной даты окончания (за день до фактической даты) в Календаре Google при добавлении события с намерением
- 1Ошибка Play Console 403 после принятия приглашения
- 1Linq Group по нескольким столбцам
- 0как получить псевдоним от angular-new-router?
- 0Дополнительное пространство под нижним колонтитулом
- 0Вызвать метод jquery для динамически добавленного элемента DOM
- 0? вместо значения с обновлением Zend
- 1Шаблон посетителя, почему это полезно?
- 1ThreadPool и методы с циклами while (true)?
What's wrong with ant expressions for his use case?вариантаWhat's wrong with ant expressions for his use case?- ммм, они не работают, как следует из вопроса;)