Apache Shiro 认证绕过漏洞(CVE-2020-1957)

漏洞简介

在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造…;这样的跳转,可以绕过Shiro中对目录的权限限制。

漏洞复现

直接请求管理页面http://your_ip:8080/admin/,无法访问,将会被重定向到登录页面,但是恶意构造/xxx/..;/admin/即可绕过检验访问到管理界面:
Apache Shiro 认证绕过漏洞(CVE-2020-1957)

上一篇:React基础_5(组件复用)


下一篇:从JSX中抽离事件处理程序