当前位置: 首页 > news >正文

新乡市红旗区建设局网站win10优化软件

新乡市红旗区建设局网站,win10优化软件,帮人做网站的公司,做国内贸易的网站0x00 前言 同CVE-2020-1957&#xff0c;补充一下笔记&#xff0c;在CVE-2020-1957的基础上进行了绕过。 影响版本&#xff1a;Apache Shiro < 1.6.0 环境搭建参考&#xff1a;shiro CVE-2020-1957 0x01 漏洞复现 CVE-2020-13933中使用%3b绕过了shiro /*的检测方式&…

0x00 前言

同CVE-2020-1957,补充一下笔记,在CVE-2020-1957的基础上进行了绕过。

影响版本:Apache Shiro < 1.6.0

环境搭建参考:shiro CVE-2020-1957

0x01 漏洞复现

CVE-2020-13933中使用%3b绕过了shiro /*的检测方式,同样是利用了spring和shiro的解析差异
在这里插入图片描述

0x02 漏洞分析

1.shiro

可以先看shiro CVE-2020-1957

在这里的url处理中,会将%3b解析成;,但是如果是明文的话,会直接进行截断。
在这里插入图片描述
经过解码之后的url,如下图所示:

在这里插入图片描述在decodeAndCleanUriString中将;进行切分
在这里插入图片描述
得到url为:在这里插入图片描述
去除\

在这里插入图片描述那么最终进行权限校验的url为:/hello,如此即可绕过shiro的权限防护

2.Spring

在Spring中会将%3ba作为一整个参数进行解析,硬要说的话就是可以通过%3b绕过removeSemicolonContentInternal的检测
在这里插入图片描述

0x03 漏洞修复

新增类,对特殊字符进行过滤
在这里插入图片描述
默认多加了/**,避免匹配不到的问题
在这里插入图片描述
修复后测试
在这里插入图片描述

http://www.ritt.cn/news/20719.html

相关文章:

  • 深圳市品牌网站建设百度搜索入口官网
  • 网站建设维护毕业论文长沙网站设计拓谋网络
  • jsp网站开发工具及语言桂林网站设计制作
  • 做建材上哪个网站比较好石家庄新闻网头条新闻
  • 网站建设帮助中心seo网站制作优化
  • 政务信息网站的建设的意义google引擎入口
  • 网页前端做购物网站的实训报告昆明seo培训
  • 招一个程序员可以做网站吗搜索引擎关键词怎么优化
  • 做网站运营需要注意哪些问题视频号下载器手机版
  • 做网站的费用属于什么费用2345网址中国最好
  • 做视频网站需要哪些证指数函数图像
  • 成都电子商务网站建站网上国网app推广
  • 做淘宝内部优惠券网站要钱么市场调研的基本流程
  • 长沙专业做网站公司安徽网站关键词优化
  • 北京南站在几环网络营销战略的内容
  • 网站推广有哪些公司可以做王通seo教程
  • 六十岁一级a做爰片免费网站官网建站多少钱
  • 做网站的公司介绍接广告推广的平台
  • 如何做响应式网站视频教程全网seo是什么意思
  • 赣州网站建设-赣州做网站网站快速排名服务
  • 注册app短信验证码平台天津百度优化
  • 网站布局怎么用dw做seo计费怎么刷关键词的
  • 昆明做网站建设舆情信息在哪里找
  • 网页制作软件绿色版长沙seo优化推荐
  • 网站生成工具查询网站流量
  • 南昌做网站需要多少钱如何设计网站的首页
  • wps演示做的和网站导航网站seo应用
  • 网络销售是做网站推广谷歌搜索引擎大全
  • 上海建站提供商网络营销推广的方法有哪些
  • 在哪个网站做流动补胎的广告好新手销售怎么和客户交流