Tomcat容器URL解析特性深入分析与安全研究<\/h1>

一、前言<\/h2>
Tomcat作为广泛使用的Java Web容器，在处理URL路径时具有某些特殊特性，特别是对`\/;\/<\/code>、\/.\/<\/code>、\/..\/<\/code>、\/..;\/<\/code>等特殊字符序列的处理方式。这些特性在某些情况下可能导致安全风险，如绕过安全设备或访问控制机制。本文将通过源码分析深入探讨Tomcat的URL解析机制。<\/p>`

二、环境搭建<\/h2>
2.1 所需工具<\/h3>

JDK 8<\/li>
Maven 3.6<\/li>
IntelliJ IDEA 2020.2<\/li>
Tomcat 9.0.45源码<\/li>
<\/ul>
2.2 配置步骤<\/h3>


源码准备<\/strong>：<\/p>

从官网下载Tomcat 9.0.45源码<\/li>
复制conf<\/code>和webapps<\/code>目录到新文件夹catalina-home<\/code>下<\/li>
<\/ul>
<\/li>

Maven配置<\/strong>：<\/p>

添加pom.xml<\/code>文件（内容见原文）<\/li>
配置国内镜像源（阿里云等）<\/li>
<\/ul>
<\/li>

测试文件<\/strong>：<\/p>

在.\/test\/trailers<\/code>下添加ResponseTrailers.java<\/code><\/li>
在.\/test\/util<\/code>下添加CookieFilter.java<\/code><\/li>
<\/ul>
<\/li>

IDEA配置<\/strong>：<\/p>

将项目导入IDEA<\/li>
设置Language level为JDK 8<\/li>
标记catalina-home<\/code>为Sources，test<\/code>为Tests<\/li>
配置启动入口为org.apache.catalina.startup.Bootstrap<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
三、Tomcat URL解析机制分析<\/h2>
3.1 核心组件<\/h3>
Tomcat处理请求涉及两个核心组件：<\/p>

Connector<\/strong>：处理外部Socket连接<\/li>
Container<\/strong>：加载和管理Servlet<\/li>
<\/ul>
请求处理流程：<\/p>

Connector接收请求<\/li>
ProtocolHandler的Processor组件解析协议并生成Request对象<\/li>
Adaptor将Request传递到Container<\/li>
<\/ol>
3.2 关键解析函数<\/h3>
URL解析主要受两个函数影响：<\/p>
1. parsePathParameters()<\/code>函数<\/h4>
位置<\/strong>：org.apache.catalina.connector.CoyoteAdapter<\/code><\/p>
功能<\/strong>：处理URL中的分号(;<\/code>)参数<\/p>
处理逻辑<\/strong>：<\/p>

检查URL中是否包含分号<\/li>
如果存在分号，提取分号后的参数值(pv)<\/li>
将分号后的路径与参数值进行覆盖操作<\/li>
返回处理后的URI<\/li>
<\/ol>
示例<\/strong>：

输入：\/123;456\/..\/index.jsp<\/code>

处理过程：<\/p>

分号位置：4<\/li>
处理后：\/123\/..\/index.jsp<\/code><\/li>
<\/ul>
2. normalize()<\/code>函数<\/h4>
功能<\/strong>：规范化URL路径<\/p>
处理逻辑<\/strong>：<\/p>

将反斜杠(\<\/code>)替换为正斜杠(\/<\/code>)<\/li>
将双斜杠(\/\/<\/code>)替换为单斜杠(\/<\/code>)<\/li>
移除\/.\/<\/code>中的点(.<\/code>)<\/li>
处理\/..\/<\/code>进行目录回溯<\/li>
<\/ol>
特殊处理<\/strong>：<\/p>

对URL编码后的字符进行解码(decodedURI()<\/code>)<\/li>
支持URL编码输入<\/li>
<\/ul>
示例<\/strong>：

输入：\/123\/..\/index.jsp<\/code>

处理过程：<\/p>

目录回溯：\/index.jsp<\/code><\/li>
<\/ul>
3.3 处理顺序<\/h3>
Tomcat对URL的处理顺序为：<\/p>

先执行parsePathParameters<\/code>处理分号<\/li>
再执行normalize<\/code>处理斜杠和点<\/li>
<\/ol>
四、安全利用场景<\/h2>
4.1 绕过安全设备<\/h3>
场景<\/strong>：安全设备基于后缀白名单进行过滤<\/p>
攻击方式<\/strong>：<\/p>
\/sql_vuln\/id=1+and+1=1;favicon.ico
<\/code><\/pre>
绕过原理<\/strong>：<\/p>

安全设备看到.ico<\/code>后缀放行<\/li>
Tomcat解析后实际路径为\/sql_vuln\/id=1+and+1=1<\/code><\/li>
<\/ol>
4.2 绕过访问限制<\/h3>
场景<\/strong>：后端通过请求路径判断权限<\/p>
攻击方式<\/strong>：<\/p>
\/;\/admin 或 \/aaa\/..\/admin
<\/code><\/pre>
绕过原理<\/strong>：<\/p>

权限检查看到的是原始路径\/;\/admin<\/code>，不等于\/admin<\/code><\/li>
Tomcat解析后实际路径为\/admin<\/code><\/li>
<\/ol>
4.3 相关漏洞案例<\/h3>

Shiro < v1.5.2<\/strong>：身份认证绕过(CVE-2020-1957)<\/li>
Shiro < v1.5.3<\/strong>：身份认证绕过(CVE-2020-11989)<\/li>
Shiro < v1.6.0<\/strong>：身份认证绕过(CVE-2020-13933)<\/li>
<\/ol>
五、防御建议<\/h2>

输入验证<\/strong>：对所有传入的URL路径进行严格验证<\/li>
规范化处理<\/strong>：在处理路径前先进行规范化<\/li>
权限检查<\/strong>：基于规范化后的路径进行权限验证<\/li>
安全设备<\/strong>：配置安全设备解析规则与服务器一致<\/li>
框架更新<\/strong>：及时更新存在相关漏洞的框架版本<\/li>
<\/ol>
六、总结<\/h2>
Tomcat的URL解析特性主要体现在对特殊字符序列的处理上，特别是分号和路径回溯符号的组合使用。理解这些特性对于Web应用安全至关重要，既能帮助开发人员编写更安全的代码，也能帮助安全人员识别潜在的风险点。在实际开发和安全评估中，应当充分考虑这些解析特性可能带来的安全影响。<\/p>

Tomcat容器URL解析特性深入分析与安全研究<\/h1>

三、Tomcat URL解析机制分析<\/h2>

3.2 关键解析函数<\/h3> URL解析主要受两个函数影响：<\/p>

四、安全利用场景<\/h2>

3.2 关键解析函数<\/h3>
URL解析主要受两个函数影响：<\/p>