Java 安全：Apache Shiro 常见鉴权绕过漏洞分析与修复

接着，自定义 Realm 实现认证逻辑。这里需要注意，如果 doGetAuthorizationInfo 返回 null 且未做严格校验，可能影响权限判断：

public class MyRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        if (!"javaboy".equals(username)) {
            throw new UnknownAccountException("账户不存在!");
        }
        return new SimpleAuthenticationInfo(username, "123", getName());
    }
}

关键配置在于 application.properties 中设置非根目录的上下文路径，这是触发漏洞的必要条件：

server.servlet.context-path=/h5

在 Shiro 配置类中，若将通配符路径设置为匿名访问（如 /**），则更容易被利用。例如：

@Bean
ShiroFilterFactoryBean shiroFilterFactoryBean() {
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(securityManager());
    bean.setLoginUrl("/login");
    Map<String, String> map = new LinkedHashMap<>();
    map.put("/doLogin/*", "anon");
    map.put("/hello/*", "authc");
    map.put("/**", "anon"); // 此处配置导致所有路径可匿名访问
    bean.setFilterChainDefinitionMap(map);
    return bean;
}

正常访问 /hello 会提示登录，但构造路径穿越请求 /h5/doLogin/../hello 即可绕过鉴权直接访问受保护资源。

修复建议

升级 Shiro 至 1.3.2 及以上版本，该版本已修复 ContextPath 路径标准化问题。

CVE-2020-1957：分号注入绕过

漏洞原理

在 Shiro (<1.5.2) 与 Spring 框架结合使用时，两者对 URL 中分号 (;) 的处理逻辑存在差异。攻击者可在请求 URL 中插入分号，利用这种解析差异绕过 Shiro 的身份验证拦截器。

复现要点

此漏洞不强制要求非根目录上下文路径，但需确保 Shiro 与 Spring 共存。正常访问 /h5/hello/1 需要认证，但在路径后添加分号，如 /h5/hello/1;，Spring 可能将其视为参数的一部分而 Shiro 可能忽略，从而导致绕过。

此外，若配置了匿名访问路径（如 /api/**），也可通过多次穿越路径配合分号进行绕过。

修复建议

升级 Shiro 至 1.5.2 及以上版本。

CVE-2020-11989：双重编码与容器解析差异

漏洞原理

Shiro (<1.5.3) 在处理请求 URI 时，若与 Tomcat 等 Web 容器存在解析差异，攻击者可通过双重 URL 编码或特定分号路径构造，绕过身份认证。这通常发生在 Web 应用上下文路径非根目录的情况下。

复现细节

配置非根目录上下文路径（如 /h5）。在 Shiro 配置中，若权限控制路径写为 /api/* 而非 /api/**，且 Controller 映射为 @GetMapping("/api/{num}")，则存在风险。

尝试访问 /h5/api/1 会被拦截。但若使用双重编码后的 payload，如 /h5/api/a%252E%252E%252Fadmin（其中 %25 是 % 的编码），前后夹杂字符串才能成功绕过。这是因为容器先解码一次，Shiro 再解码一次，最终路径被还原为包含 .. 的形式。

修复建议

升级 Shiro 至 1.5.3 及以上版本。

CVE-2020-13933：路径匹配规则缺陷

漏洞原理

Shiro < 1.6.0 版本中，当权限配置为 /path/* 且后端接口为 /path/{vule}（String 类型）时，攻击者可通过 /xxx/;/admin 类特制 URL 绕过认证。核心在于 Shiro 的 Ant 风格路径匹配与 Spring MVC 的路径变量解析不一致。

复现步骤

配置根路径即可。Shiro 配置中设置 /api/* 为 authc。Controller 映射为 /api/{vule}。

正常访问 /api/11 被拦截。若在 /api/ 后面添加 ; 或 %3b，即 /api/;，Shiro 可能认为匹配到了 /api/* 中的 * 部分，但实际路由到 Spring 时可能被解析为不同的路径，从而绕过。

修复建议

升级 Shiro 至 1.6.0 及以上版本。

CVE-2020-17510 / CVE-2020-17523：编码变形与混合路径

漏洞详情

这两个漏洞主要涉及 SpringBoot 版本兼容性。CVE-2020-17510 利用编码变形 URL（如 %2e 代表 .）绕过；CVE-2020-17523 则利用混合路径请求（如 ..;/admin）。

复现环境

• Shiro <= 1.7.0
• SpringBoot >= 2.4.0
• 权限配置为 /path/*
• 后端接口为 /path/{vule}

攻击手法

访问 /api/a 被拦截。将 a 修改为 payload：.、..、%2e、%2e%2e、%20 等。由于 SpringBoot 2.4+ 对路径解析的变化，Shiro 未能正确识别这些变形字符，导致鉴权失效。

修复建议

升级 Shiro 至 1.7.1 及以上版本。

黑盒测试中的常见 Payload 总结

在实际渗透测试中，针对 Shiro 权限绕过的尝试方法可归纳为以下几类：

1. 路径穿越类（适配 CVE-2016-6802、CVE-2020-11989）

   • 基础 payload：/上下文路径/匿名路径/../受保护路径（例 /h5/doLogin/../hello）
   • 双重编码 payload：/h5/api/a%252E%252E%252Fadmin

2. 特殊字符注入类（适配 CVE-2020-1957、CVE-2020-13933）

   • 分号注入：/h5/hello;、/h5/doLogin/..;hello
   • 编码变形：/h5/api/%3Badmin、/h5/api/%2E/../admin

3. 权限配置类（适配 CVE-2020-13933、CVE-2020-17510/17523）

   • /path/* 配置 payload：/api/;/admin、/api/%2E/admin
   • SpringBoot 专属 payload：/api/.、/api/..（仅 SpringBoot≥2.4.0 生效）

总结

上述漏洞的根本原因大多在于 Shiro 旧版本对 URL 解析逻辑的疏忽，以及与主流 Web 容器、Spring 框架之间的兼容性问题。虽然通过规范代码配置（如避免使用 /** 通配符、统一路径匹配策略）可以在一定程度上降低风险，但最稳妥的方案始终是及时升级至官方推荐的安全版本。开发人员在集成 Shiro 时，应密切关注官方安全公告，并对生产环境的 URL 配置进行严格审计。