shiro权限验证绕过

SHIRO介绍

shiro是一个java安全框架，用于执行身份验证、授权、密码、和会话管理系统，通常，shiro会和spring等框架一起搭配用于web应用系统的开发

权限验证方式

shiro是基于url的权限验证，配置的url模式使用ant风格模式，ant路径通过通配符支持”?”、”“、”\*“。
对于”?”，其匹配一个字符串。如”/admin?”将匹配”/admin1”、但不匹配”/admin”或者”/admin/“

对于”“,其匹配/admin/abc”，但不匹配/admin/a/b
对于”\*“，其匹配路径中的零个或多个路径，如“/admin/**”将匹配“/admin/a”或“/admin/a/b”。

常用的拦截器配置

anon拦截器表示匿名访问
authc拦截器表示需要身份认证过后才能访问
拦截器的匹配顺序采取第一次匹配优先的方式，即从头开始第一个匹配的url模式对应的拦截器链

eg:
Map<String, String> map = new LinkedHashMap<>();
map.put("/doLogin", "anon");
map.put("/admin/*", "authc");
map.put("/manage/*", "authc");

CVE-2020-1957