My-Site项目中的路径处理问题分析与改进

问题背景

在开源博客系统My-Site的最新版本中，发现了一个关键的权限控制问题。该问题允许用户通过构造特殊路径绕过管理员接口的权限检查，直接访问受限的后台功能接口。这种类型的问题在Web应用中相当常见，但往往容易被开发者忽视。

问题原理分析

该问题存在于cn.luischen.interceptor.BaseInterceptor拦截器类的preHandle方法中。拦截器的主要功能是对访问后台管理接口的请求进行权限验证检查。

拦截器的核心逻辑是：

1. 获取请求路径并进行规范化处理（包括URL解码、转换为小写、去除多余斜杠等）
2. 检查路径是否为后台管理路径（通过isAdminPath判断）
3. 如果路径不是以/admin/login、/admin/css等允许路径开头，则进行拦截并重定向到登录页

问题出在路径规范化处理上。虽然代码对路径进行了基本的规范化处理，但没有考虑到路径穿越的特殊情况，特别是/..;/这种形式的路径构造。

问题重现

以发布文章接口/admin/article/publish为例：

• 正常访问该路径会被拦截并重定向到登录页
• 但使用/admin/login/..;/article/publish这样的路径构造可以绕过拦截器的检查

这种绕过方式的原理是：

1. 拦截器首先对路径进行规范化处理
2. 在处理过程中，/..;/被错误解析，导致路径检查失效
3. 最终请求仍能路由到目标接口，但跳过了权限验证环节

问题影响

该问题的影响等级较高，用户可以利用它：

• 未经授权发布、修改或删除文章
• 获取受限后台数据
• 执行其他需要管理员权限的操作
• 可能进一步结合其他问题提升操作效果

改进方案

项目维护者已通过提交1f7525f解决了该问题。改进的核心思路是：

1. 增强路径规范化处理逻辑，正确处理各种路径穿越情况
2. 对路径进行更严格的验证，确保不会出现解析歧义
3. 增加对特殊字符和路径构造的过滤

开发建议

对于Web应用开发者，建议：

1. 实现统一的请求处理管道，集中处理路径规范化
2. 使用框架提供的安全机制而非自行实现
3. 对管理接口实施多重验证机制
4. 定期进行代码审查和功能测试
5. 关注OWASP等组织发布的最新开发建议

总结

My-Site项目中的这个问题展示了Web应用开发中路径处理的重要性。即使是看似简单的路径规范化问题，也可能导致严重的权限控制问题。开发者应当重视请求处理各个环节的可靠性，采用业界最佳实践来构建更稳定的Web应用。