Spring WebMvc.fn路由解析与权限绕过分析<\/h1>

0x00 前言<\/h2>

Spring WebMvc.fn是Spring Web MVC的一部分，提供了一种轻量级的函数式编程模型，允许开发者使用函数来定义路由和处理HTTP请求。这种模型是注解编程模型的替代方案。<\/p>

在WebMvc.fn中：<\/p>

HTTP请求由HandlerFunction<\/code>处理<\/li>
这是一个接收ServerRequest<\/code>并返回ServerResponse<\/code>的函数<\/li>

一般通过RouterFunctions.route()<\/code>方法进行处理<\/li>
<\/ul>
示例代码：<\/p>
@Configuration<\/span>
<\/span><\/span>public<\/span> class<\/span> PersonHandlerConfiguration<\/span> {<\/span>
<\/span><\/span>    @Bean<\/span>
<\/span><\/span>    public<\/span> RouterFunction<<\/span>ServerResponse><\/span> person<\/span>()<\/span> {<\/span>
<\/span><\/span>        return<\/span> route().<\/span>GET<\/span>(<\/span>"\/person"<\/span>,<\/span> request -><\/span> {<\/span>
<\/span><\/span>            return<\/span> ServerResponse.<\/span>status<\/span>(<\/span>HttpStatus.<\/span>OK<\/span>).<\/span>body<\/span>(<\/span>"Hello World"<\/span>);<\/span>
<\/span><\/span>        }).<\/span>build<\/span>();<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>0x01 WebMvc.fn路由解析过程<\/h2>
核心解析流程<\/h3>


DispatcherServlet处理<\/strong>：Spring MVC接收到请求时，Servlet容器调用DispatcherServlet<\/code>的service<\/code>方法<\/p>
<\/li>

请求方法分发<\/strong>：根据请求方法调用对应的processRequest<\/code>方法（如GET请求调用doGet<\/code>方法）<\/p>
<\/li>

HandlerMapping查找<\/strong>：在doDispatch<\/code>方法中循环调用HandlerMapping<\/code>的getHandler<\/code>方法<\/p>

WebMvc.fn使用RouterFunctionMapping<\/code><\/li>
<\/ul>
<\/li>

RouterFunctionMapping处理<\/strong>：<\/p>

检查this.routerFunction<\/code>是否不为null<\/li>
使用HttpServletRequest<\/code>创建ServerRequest<\/code>对象<\/li>
使用routerFunction.route(request)<\/code>路由请求<\/li>
尝试匹配ServerRequest<\/code>与RouterFunction<\/code>中定义的路由规则<\/li>
<\/ul>
<\/li>

路由匹配<\/strong>：<\/p>

调用org.springframework.web.servlet.function.RouterFunctionBuilder#route<\/code>方法<\/li>
遍历路由函数routerFunctions<\/code>的route<\/code>方法<\/li>
找到第一个与当前请求匹配的路由，返回相应的HandlerFunction<\/code><\/li>
<\/ul>
<\/li>

请求规则检查<\/strong>：<\/p>

RequestPredicates<\/code>定义请求规则（请求参数、请求方式等）<\/li>
调用DefaultRouterFunction#route<\/code>方法<\/li>
通过this.predicate.test(request)<\/code>检查路由函数的Predicate<\/code>是否匹配<\/li>
<\/ul>
<\/li>

路径匹配<\/strong>：<\/p>

检查请求方法是否在路由函数的方法集合中<\/li>
通过PathPattern<\/code>的matchAndExtract<\/code>方法进行请求路径匹配<\/li>
<\/ul>
<\/li>
<\/ol>
多RouterFunction处理<\/h3>
当容器中有多个RouterFunction<\/code>类型的bean时：<\/p>

DifferentComposedRouterFunction<\/code>会逐层包装所有RouterFunction<\/code><\/li>
调用DifferentComposedRouterFunction#route<\/code>方法<\/li>
递归调用最终到达配置类中定义的BuiltRouterFunction#route<\/code><\/li>
<\/ul>
静态资源解析<\/h3>
RouterFunctions<\/code>可以通过PathResourceLookupFunction<\/code>处理静态资源请求，将请求路径映射到文件系统中的资源。<\/p>
解析流程：<\/p>

调用ResourcesRouterFunction#route<\/code>方法<\/li>
实际调用org.springframework.web.servlet.function.PathResourceLookupFunction#apply<\/code>方法<\/li>
检查请求路径是否与定义的路由模式匹配<\/li>
提取模式内的路径部分<\/li>
对路径进行处理（若包含%<\/code>则进行URL解码）<\/li>
检查路径合法性<\/li>
创建Resource<\/code>对象并检查可读性和位置安全性<\/li>
<\/ol>
路径安全检查<\/strong>：<\/p>

检查是否包含WEB-INF<\/code>或META-INF<\/code><\/li>
检查是否是有效的URL（如classpath:<\/code>）<\/li>
检查是否包含..<\/code>（路径遍历尝试）<\/li>
使用StringUtils.cleanPath(path)<\/code>处理路径<\/li>
<\/ul>
0x02 RouterFunctionMapping权限绕过分析<\/h2>
基本绕过思路<\/h3>


路径解析特性<\/strong>：<\/p>

使用request.requestPath().pathWithinApplication<\/code>获取请求路径<\/li>
移除URL路径中的分号<\/li>
对URL编码进行解码操作<\/li>
识别请求path尾部额外的\/<\/code><\/li>
<\/ul>
<\/li>

变形路径示例<\/strong>：<\/p>

\/person<\/code><\/li>
\/person\/<\/code><\/li>
\/person%2f<\/code><\/li>
\/person%252f<\/code>（双重编码）<\/li>
<\/ul>
<\/li>
<\/ol>
静态资源访问控制绕过<\/h3>
案例场景：通过RouterFunction<\/code>定义路由，使用filter<\/code>对特定路径下特定后缀文件进行权限控制。<\/p>
示例配置：<\/p>
@Configuration<\/span>
<\/span><\/span>public<\/span> class<\/span> LogRouter<\/span> {<\/span>
<\/span><\/span>    ResourcePatternResolver resolver =<\/span> new<\/span> PathMatchingResourcePatternResolver();<\/span>
<\/span><\/span>    
<\/span><\/span>    @Bean<\/span>
<\/span><\/span>    RouterFunction staticResourceLocator<\/span>(){<\/span>
<\/span><\/span>        return<\/span> RouterFunctions.<\/span>resources<\/span>(<\/span>"\/log\/**"<\/span>,<\/span> resolver.<\/span>getResource<\/span>(<\/span>"file:\/\/\/usr\/local\/tomcat\/logs\/"<\/span>));<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>绕过分析<\/strong>：<\/p>


URL解码过程<\/strong>：<\/p>

原始请求路径包含%<\/code>时，会进行一次URL解码<\/li>
在ResourceUtils#getFile<\/code>方法中，通过URI对象的getSchemeSpecificPart<\/code>方法再做一层解码<\/li>
实际请求时会对路径解码两次<\/li>
<\/ul>
<\/li>

安全检查限制<\/strong>：<\/p>

#<\/code>会被替换为URL编码，无法使用file:\/\/\/path\/file.log#png<\/code>方式绕过后缀匹配<\/li>
路径中不能包含..\/<\/code>等穿越符<\/li>
<\/ul>
<\/li>

双重编码绕过<\/strong>：<\/p>

通过双重URL编码可以绕过权限控制<\/li>
示例：读取catalina.out<\/code>文件

原始路径：\/log\/catalina.out<\/code><\/li>
双重编码：\/log\/catalina%252eout<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
通用鉴权措施绕过<\/h3>
对于使用类似Shiro\/Spring Security等通用鉴权措施：<\/p>

利用不同场景下的解析差异<\/li>
结合路径变形和编码方式<\/li>
<\/ul>
0x03 安全建议<\/h2>


使用内置安全机制<\/strong>：<\/p>

使用路由函数生成器上的before<\/code>、after<\/code>或filter<\/code>方法<\/li>
示例：
return<\/span> route()<\/span>
<\/span><\/span>    .<\/span>GET<\/span>(<\/span>"\/person"<\/span>,<\/span> request -><\/span> {...})<\/span>
<\/span><\/span>    .<\/span>before<\/span>(<\/span>request -><\/span> {<\/span>
<\/span><\/span>        \/\/ 认证逻辑
<\/span><\/span><\/span><\/span>        return<\/span> request;<\/span>
<\/span><\/span>    })<\/span>
<\/span><\/span>    .<\/span>build<\/span>();<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

路径处理建议<\/strong>：<\/p>

严格校验请求路径<\/li>
避免依赖单一的安全检查<\/li>
对资源访问实施多层验证<\/li>
<\/ul>
<\/li>

静态资源控制<\/strong>：<\/p>

限制文件系统访问范围<\/li>
实施严格的路径规范化检查<\/li>
考虑使用白名单机制<\/li>
<\/ul>
<\/li>

编码处理<\/strong>：<\/p>

统一编码解码处理流程<\/li>
避免多次解码导致的安全问题<\/li>
<\/ul>
<\/li>

版本更新<\/strong>：<\/p>

保持Spring框架最新版本<\/li>
关注安全公告和补丁<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
Spring WebMvc.fn提供了灵活的路由定义方式，但在路径处理和权限控制方面存在潜在风险。开发者需要充分理解其路由解析机制，特别注意路径变形和编码带来的安全问题，实施多层次的安全防护措施。<\/p>

Spring WebMvc.fn路由解析与权限绕过分析<\/h1>

0x01 WebMvc.fn路由解析过程<\/h2>

0x02 RouterFunctionMapping权限绕过分析<\/h2>

总结<\/h2> Spring WebMvc.fn提供了灵活的路由定义方式，但在路径处理和权限控制方面存在潜在风险。开发者需要充分理解其路由解析机制，特别注意路径变形和编码带来的安全问题，实施多层次的安全防护措施。<\/p>

总结<\/h2>
Spring WebMvc.fn提供了灵活的路由定义方式，但在路径处理和权限控制方面存在潜在风险。开发者需要充分理解其路由解析机制，特别注意路径变形和编码带来的安全问题，实施多层次的安全防护措施。<\/p>