过滤器作用范围/和/*引发的安全问题

  • A+
所属分类:gv7.me

问题:过滤器作用范围设置为/或/*一样么?

安全人员可能觉得不一样,毕竟从对通配符的认识来说,/代表的只是根目录,/*代表所有。

开发人员可能觉得一样,根据平常的开发经验,并未发现两者的差别。

其实呢,这两种认识都不正确,更确切地说前者说的不够正确。具体许我慢慢道来。

0x01 问题背景

回想起之前做的代码审计时,发现项目设置全局过滤器时,有的设置为/,有的设置为/*
在自己模糊印象里,在校学jsp时确实感觉两者是一样的。但作为安全人员,还是不禁好奇,于是查资料写代码实验,终于发现他们的不同。在我明白了它们的不同之后,我调查了下周边做安全和开发的朋友,结果清一色的认为它们一样。

0x02 实验测试

我们以防御XSS漏洞的demo来实验,过滤器使用上篇文章的代码。

存在XSS漏洞的jsp页面代码

1
"str"));%>

web.xml中过滤器配置

1
2
3
4
5
6
7
8
9
10
11
12
...
filter>
filter-name>CrossSiteScriptFilterfilter-name>
filter-class>me.gv7.filter.XssFilterfilter-class>
filter>
filter-mapping>
filter-name>CrossSiteScriptFilterfilter-name>

url-pattern>/url-pattern>
dispatcher>REQUESTdispatcher>
filter-mapping>
...

过滤器作用范围/和/*引发的安全问题

通过演示的结果我们知道:

  1. /*才是真正意义上的过滤所有请求
  2. /并非真正意义上的过滤所有请求,它过滤除jsp页面之外的请求

0x03 最后总结

一般项目采用MVC架构之后,基本不会有程序猿继续在jsp文件写后端处理代码。然而这个世界很奇怪,正如墨菲定律说的那样,觉得不可能的往往会发生。而我们更不能把安全寄托于人性上,所以全局安全过滤器请设置作用范围为/*

当我们在进行代码审计发现全局过滤器的作用范围为/,则可以着重检查jsp文件中是否包含后端处理代码,毕竟其不在过滤器保护范围内。

文章来源于gv7.me:过滤器作用范围/和/*引发的安全问题

相关推荐: 过滤器作用范围/和/*引发的安全问题

问题:过滤器作用范围设置为/或/*一样么? 安全人员可能觉得不一样,毕竟从对通配符的认识来说,/代表的只是根目录,/*代表所有。 开发人员可能觉得一样,根据平常的开发经验,并未发现两者的差别。 其实呢,这两种认识都不正确,更确切地说前者说的不够正确。具体许我慢…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: