swagger关闭/v2/api-docs仍然可以访问漏洞
今天接到安全团队的说swagger有未授权访问漏洞,即使在swagger关闭的情况下http://127.0.0.1:8086/agcloud/v2/api-docs?group=用户关联信息模块仍然还能访问。
看了下原来是有写一个拦截器
-
registry.addInterceptor(loginInterceptor).addPathPatterns("/v2/api-docs");
-
registry.addInterceptor(loginInterceptor).addPathPatterns("/swagger-ui.html");
断点之后发现是有生效的,/swagger-ui.html不能再访问,但是/v2/api-docs路径还是可以访问,确定拦截器有生效,不是拦截器的问题。
查看基于springMVC请求入口找到DispatcherServlet类,找到doDispatch方法
-
protected void doDispatch(HttpServletRequest request, HttpServletResponse response) throws Exception {
-
......
-
try {
-
// HandlerMapping根据请求路径选择对应的handler(controller下的某个方法)来处理当前请求
-
// 补充下HandlerMapping:
-
// 1. 根据当前请求的找到对应的 Handler,
-
// 2. 将 Handler(执行程序)与一堆 HandlerInterceptor(拦截器)封装到 HandlerExecutionChain 对象中
-
// 3. DispatcherServlet会从容器中取出所有HandlerMapping实例并遍历,让HandlerMapping实例根据自己实现类的方式去尝试查找Handler
-
mappedHandler = getHandler(processedRequest);
-
......
-
// 根据handler来找到支持它的HandlerAdapter,通过HandlerAdapter执行这个最后的代码处理逻辑得到具体的返回结果
-
HandlerAdapter ha = getHandlerAdapter(mappedHandler.getHandler());
-
......
-
// 拦截器preHandle处理,按顺序执行
-
if (!mappedHandler.applyPreHandle(processedRequest, response)) {
-
return;
-
}
-
// handlerAdapter实际的执行逻辑
-
mv = ha.handle(processedRequest, response, mappedHandler.getHandler());
-
......
-
// 拦截器postHandle处理
-
mappedHandler.applyPostHandle(processedRequest, response, mv);
-
} catch (Throwable err) {
-
......
-
} finally {
-
......
-
}
-
}
在doDispatch方法中,拦截器的preHandle执行逻辑在mappedHandler.applyPreHandle中,接下来我看下这个方法:
-
boolean applyPreHandle(HttpServletRequest request, HttpServletResponse response) throws Exception {
-
// 遍历handler绑定的所有interceptors,按顺序执行preHanlde方法
-
for (int i = 0; i < this.interceptorList.size(); i ) {
-
HandlerInterceptor interceptor = this.interceptorList.get(i);
-
// 如果preHandle返回false,则触发afterCompletion方法的执行
-
if (!interceptor.preHandle(request, response, this.handler)) {
-
triggerAfterCompletion(request, response, null);
-
return false;
-
}
-
this.interceptorIndex = i;
-
}
-
return true;
-
}
debug跟踪到这个方法,发现applyPreHandle方法中this.interceptorList的长度为0,即处理该请求的handler没有绑定任何interceptor。这个时候很容易想到问题可能出现在handlerMapping上,因为handlerMapping负责将handler与一堆 handlerInterceptor(拦截器)封装到 HandlerExecutionChain 对象中
doDispatch中的getHandler方法断点
解决方案:
-
package com.augurit.swj.config.filter;
-
-
import org.springframework.beans.factory.annotation.Value;
-
import org.springframework.core.MethodParameter;
-
import org.springframework.http.HttpStatus;
-
import org.springframework.http.MediaType;
-
import org.springframework.http.server.ServerHttpRequest;
-
import org.springframework.http.server.ServerHttpResponse;
-
import org.springframework.web.bind.annotation.RestControllerAdvice;
-
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;
-
-
import java.util.Arrays;
-
import java.util.List;
-
-
/**
-
* @ClassName: SwaggerAdvice
-
* @Author: zy
-
* @Date: 2023/03/06 10:54
-
* @Description:
-
* 自定的HanderMapping初始化未绑定拦截器,导致拦截器失效
-
* 通过ResponseBodyAdvice配合@ControllerAdvice注解,在请求响应体返回之前,校验请求URL
-
*
-
*/
-
-
public class SwaggerAdvice implements ResponseBodyAdvice {
-
-
-
private boolean swaggerEnable;
-
-
private static final List<String> EXCLUDE_URL = Arrays.asList("/v2/api-docs");
-
-
-
public Object beforeBodyWrite(Object o, MethodParameter methodParameter, MediaType mediaType, Class aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
-
String url = serverHttpRequest.getURI().getHost() serverHttpRequest.getURI().getPath();
-
//增加判断,只有配置文件打开了swagger才能访问
-
if(swaggerEnable == true){
-
return o;
-
}
-
if (EXCLUDE_URL.stream().anyMatch(item -> url.contains(item))) {
-
serverHttpResponse.setStatusCode(HttpStatus.FORBIDDEN);
-
return "没有权限";
-
}
-
return o;
-
}
-
-
-
public boolean supports(MethodParameter methodParameter, Class aClass) {
-
return true;
-
}
-
}
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhgebaic
系列文章
更多
同类精品
更多
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
怎样阻止微信小程序自动打开
PHP中文网 06-13 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01