my-site项目中的路径遍历问题分析与防护

问题概述

在开源项目my-site中，发现了一个严重的路径遍历问题，该问题可能导致绕过身份验证机制，直接访问后台管理接口。这种类型的问题属于Web应用安全中常见的"认证绕过"情况，可能导致未经授权的数据修改或删除。

技术背景

在Java Web应用中，拦截器(Interceptor)通常用于实现请求的预处理和后处理逻辑。my-site项目使用BaseInterceptor类来保护后台管理接口，理论上所有以/admin开头的请求都应经过身份验证检查。

问题详情

问题代码分析

问题核心位于cn.luischen.interceptor.BaseInterceptor类的preHandle方法中。该方法使用request.getRequestURI()获取请求路径，然后进行简单的字符串匹配检查：

if (uri.startsWith("/admin") && 
    !uri.startsWith("/admin/login") && 
    !uri.startsWith("/admin/css") && 
    !uri.startsWith("/admin/images") && 
    !uri.startsWith("/admin/js") && 
    !uri.startsWith("/admin/plugins")) {
    // 验证逻辑
} else {
    return true; // 直接放行
}

问题原理

问题出在request.getRequestURI()方法的使用上。该方法返回的是未经规范化的原始URI路径，不会自动解析路径中的特殊符号（如../）。攻击者可以利用路径遍历技术构造特殊路径，绕过拦截器的检查。

例如：

• 正常路径：/admin/comments/delete
• 绕过路径：/admin/css/../comments/delete

虽然这两个路径最终指向同一个资源，但拦截器的字符串匹配检查无法识别这种变体。

问题影响

该问题可能导致：

1. 未经认证访问后台管理接口
2. 执行敏感操作，如删除评论
3. 可能进一步获取系统权限或用户数据

问题复现

1. 正常访问/admin/comments/delete会被重定向到登录页面
2. 使用/admin/css/../comments/delete路径可以绕过检查
3. 通过遍历coid参数，可能删除所有评论

修复方案

推荐修复方法

1. 路径规范化：在处理路径前，应先进行规范化处理

String uri = request.getRequestURI();
uri = uri.replaceAll("/\\.\\./", "/").replaceAll("/\\./", "/");

2. 使用更安全的路径匹配方式：考虑使用正则表达式或专门的路径匹配库

3. 权限检查重构：建议将白名单机制改为默认拦截机制，只放行特定资源

防御措施

1. 在所有路径处理前进行规范化
2. 实现严格的权限检查中间件
3. 对管理接口实施防护措施
4. 记录所有管理操作日志

安全建议

对于Web应用开发者：

1. 谨慎处理客户端提供的路径信息
2. 在处理路径时考虑各种边缘情况
3. 使用框架提供的安全功能而非自行实现
4. 定期进行安全审计和代码审查

对于系统管理员：

1. 及时更新应用补丁
2. 监控异常管理操作
3. 限制管理接口的访问IP

总结

路径遍历问题看似简单，但影响较大。开发者应充分理解Web请求处理机制，正确处理路径信息，避免因实现不当导致的安全问题。my-site项目的这个案例提醒我们，安全防护不能仅依赖表面的字符串匹配，而应该从请求处理的各个环节进行综合考虑。