my-site项目中的路径遍历问题分析与修复

问题背景

my-site是一个基于Spring Boot开发的个人博客系统。在1.0.2.RELEASE版本中，研究人员发现了一个严重的权限验证问题，攻击者可以利用该问题绕过管理员权限检查，直接访问受保护的后台管理接口。

问题原理分析

该问题的核心出在BaseInterceptor拦截器的preHandle方法中。拦截器本应保护所有以/admin开头的请求路径，只允许经过验证的用户访问。然而，由于路径检查逻辑存在缺陷，导致攻击者可以通过构造特殊路径绕过安全检查。

原始问题代码分析

拦截器原本使用request.getRequestURI()获取请求路径，然后进行简单的字符串匹配检查：

if(uri.startsWith("/admin") && 
   !uri.startsWith("/admin/login") && 
   !uri.startsWith("/admin/css") && 
   !uri.startsWith("/admin/js") && 
   !uri.startsWith("/admin/images")) {
    // 检查用户是否登录
} else {
    return true; // 放行请求
}

这种检查方式存在两个主要问题：

1. 没有对路径进行规范化处理，攻击者可以使用../进行路径遍历
2. 仅依赖简单的字符串前缀匹配，无法有效防御编码攻击

攻击方式

攻击者可以通过以下方式绕过检查：

1. 路径遍历攻击：使用/admin/css/../comments/delete这样的路径
2. URL编码攻击：使用/admin/css/../comments/%64elete（%64是字母d的URL编码）

这些攻击方式都能使请求绕过/admin前缀检查，同时最终被路由到实际的管理接口。

问题影响

该问题允许未授权用户执行以下操作：

1. 删除任意评论（通过/admin/comments/delete接口）
2. 理论上可以访问所有受/admin保护的管理接口
3. 可能进一步导致数据修改、信息泄露等风险

修复方案

项目维护者在后续提交中实施了以下修复措施：

1. 路径规范化处理：添加了uri.replaceAll("/+", "/")，处理多余的斜杠
2. 关键操作检查：增加了isCriticalOperation函数，检查请求是否包含关键操作

然而，研究人员指出这些修复仍不完善：

1. replaceAll无法处理../路径遍历
2. URL编码仍然可以绕过关键操作检查

安全建议

针对此类路径检查问题，建议采取以下防护措施：

1. 使用规范的路径解析方法，如Spring的PathMatcher
2. 对路径进行完全规范化后再进行比较
3. 实现严格的权限验证中间件，不依赖简单的路径匹配
4. 对管理接口实施双重验证机制
5. 记录和监控所有管理接口的访问行为

总结

my-site项目中的这个问题展示了Web应用中路径检查的常见陷阱。开发者在实现权限控制时，必须考虑各种可能的绕过方式，包括路径遍历、URL编码、大小写变换等技术。同时，修复需要全面考虑各种攻击场景，不能仅针对已发现的攻击方式进行修补。

这个案例也提醒我们，在Web应用开发中，权限验证组件的实现需要格外谨慎，最好使用经过验证的框架或库，而不是自行实现复杂的路径匹配逻辑。