Tomcat URL解析差异性导致的安全问题分析<\/h1>

0x01 简介<\/h2>
Tomcat是常见的Web中间件，利用NIO技术处理HTTP请求。在接收到请求时会对客户端提交的参数、URL、Header和Body数据进行解析，并生成Request对象，然后调用实际的JSP或Servlet。<\/p>
当后台程序使用`getRequestURI()<\/code>或getRequestURL()<\/code>函数来解析用户请求的URL时，若URL中包含特殊符号，可能造成访问限制绕过的安全风险。<\/p>`

0x02 URL解析差异性<\/h2>
HttpServletRequest中几个解析URL的函数<\/h3>
在Servlet处理URL请求的路径时，HTTPServletRequest有如下常用函数：<\/p>

request.getRequestURL()<\/code>：返回全路径<\/li>
request.getRequestURI()<\/code>：返回除去Host（域名或IP）部分的路径<\/li>
request.getContextPath()<\/code>：返回工程名部分，如果工程映射为\/，则返回为空<\/li>
request.getServletPath()<\/code>：返回除去Host和工程名部分的路径<\/li>
request.getPathInfo()<\/code>：仅返回传递到Servlet的路径，如果没有传递额外的路径信息，则返回Null<\/li>
<\/ol>
特殊字符的URL解析<\/h3>
通过实验测试Tomcat对不同特殊字符的处理：<\/p>
正常访问<\/h4>
http:\/\/localhost:8080\/urltest\/index.jsp<\/code> - 正常输出各函数解析结果<\/p>
插入 .\/ 访问<\/h4>
http:\/\/localhost:8080\/urltest\/.\/.\/.\/index.jsp<\/code> - 能正常访问

http:\/\/localhost:8080\/urltest\/.a\/.bb\/.ccc\/index.jsp<\/code> - 返回404<\/p>
插入 ..\/ 访问<\/h4>
http:\/\/localhost:8080\/urltest\/..\/index.jsp<\/code> - 返回404（实际访问\/index.jsp<\/code>）

http:\/\/localhost:8080\/urltest\/noexist\/..\/index.jsp<\/code> - 能正常访问<\/p>
插入 ;\/ 访问<\/h4>
http:\/\/localhost:8080\/urltest\/;\/;\/;\/index.jsp<\/code> - 能正常访问

http:\/\/localhost:8080\/urltest\/;a\/;bb\/;ccc\/index.jsp<\/code> - 能正常访问<\/p>
插入其他特殊字符访问<\/h4>
 <\/code> ~ ! @ # $ % ^ & * ( ) - _ = + [ ] { } \ | : ' " < > ?` - 均返回400或404<\/p>
小结<\/h3>
Tomcat中的URL解析支持嵌入.\/<\/code>、..\/<\/code>、;xx\/<\/code>等特殊字符。getRequestURL()<\/code>和getRequestURI()<\/code>这两个函数解析提取的URL内容包含嵌入的特殊字符，使用不当时会存在安全问题如绕过认证。<\/p>
0x03 调试分析<\/h2>
Tomcat对URL特殊字符的处理<\/h3>
Tomcat在CoyoteAdapter.service()<\/code>函数中对请求URL进行解析处理，主要调用两个关键函数：<\/p>


parsePathParameters()<\/code>函数：<\/p>

寻找URL中的;<\/code>号<\/li>
将;xxx\/<\/code>中的分号与斜杠之间的字符串以及分号本身都去掉<\/li>
处理示例：http:\/\/localhost:8080\/urltest\/;mi1k7ea\/index.jsp<\/code><\/li>
<\/ul>
<\/li>

normalize()<\/code>函数：<\/p>

将\<\/code>替换为\/<\/code><\/li>
删除连续的\/<\/code>只保留一个<\/li>
删除\/.\/<\/code><\/li>
对\/..\/<\/code>进行跨目录拼接处理<\/li>
返回处理后的URL路径<\/li>
<\/ul>
<\/li>
<\/ol>
各解析函数的处理细节<\/h3>


getRequestURI()<\/code>：<\/p>

直接返回请求的URL内容，不做任何处理及URL解码<\/li>
<\/ul>
<\/li>

getRequestURL()<\/code>：<\/p>

提取协议类型、host和port<\/li>
调用getRequestURI()<\/code>获取路径<\/li>
直接拼接返回，不做任何处理<\/li>
<\/ul>
<\/li>

getServletPath()<\/code>：<\/p>

返回Tomcat处理后的MappingData<\/code>类对象中的wrapperPath<\/code>属性值<\/li>
<\/ul>
<\/li>

getPathInfo()<\/code>：<\/p>

返回MappingData<\/code>类对象中的pathInfo<\/code>属性值<\/li>
<\/ul>
<\/li>

getContextPath()<\/code>：<\/p>

获取Servlet上下文路径和请求目录路径<\/li>
处理连续的\/<\/code><\/li>
进行工程名切分提取<\/li>
对切分结果进行特殊字符处理和URL解码<\/li>
返回处理后的路径<\/li>
<\/ul>
<\/li>
<\/ol>
0x04 攻击利用<\/h2>
访问限制绕过场景<\/h3>
假设存在敏感目录\/urltest\/info\/secret.jsp<\/code>，配置了Filter进行访问控制：<\/p>
public<\/span> void<\/span> doFilter<\/span>(...)<\/span> {<\/span>
<\/span><\/span>    String url =<\/span> httpServletRequest.<\/span>getRequestURI<\/span>();<\/span>
<\/span><\/span>    if<\/span> (<\/span>url.<\/span>startsWith<\/span>(<\/span>"\/urltest\/info"<\/span>))<\/span> {<\/span>
<\/span><\/span>        httpServletResponse.<\/span>getWriter<\/span>().<\/span>write<\/span>(<\/span>"No Permission."<\/span>);<\/span>
<\/span><\/span>        return<\/span>;<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>    filterChain.<\/span>doFilter<\/span>(<\/span>servletRequest,<\/span> servletResponse);<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>绕过方式<\/h3>
利用URL解析差异性构造以下payload可绕过限制：<\/p>

http:\/\/localhost:8080\/urltest\/.\/info\/secret.jsp<\/code><\/li>
http:\/\/localhost:8080\/urltest\/;mi1k7ea\/info\/secret.jsp<\/code><\/li>
http:\/\/localhost:8080\/urltest\/mi1k7ea\/..\/info\/secret.jsp<\/code><\/li>
http:\/\/localhost:8080\/urltest\/mi1k7ea\/..;\/info\/secret.jsp<\/code><\/li>
http:\/\/localhost:8080\/\/urltest\/info\/secret.jsp<\/code><\/li>
<\/ol>
修复方案<\/h3>
使用getPathInfo()<\/code>替代getRequestURI()<\/code>，如Apache Shiro的修复方案所示。<\/p>
0x05 参考<\/h2>

getRequestURI()带来的安全问题<\/li>
Apache Shiro修复commit: https:\/\/github.com\/apache\/shiro\/commit\/3708d7907016bf2fa12691dff6ff0def1249b8ce<\/li>
<\/ol>

Tomcat URL解析差异性导致的安全问题分析<\/h1>

特殊字符的URL解析<\/h3>
通过实验测试Tomcat对不同特殊字符的处理：<\/p>

正常访问<\/h4>
`http:\/\/localhost:8080\/urltest\/index.jsp<\/code> - 正常输出各函数解析结果<\/p>`

0x04 攻击利用<\/h2>

修复方案<\/h3>
使用`getPathInfo()<\/code>替代getRequestURI()<\/code>，如Apache Shiro的修复方案所示。<\/p>`

`0x05 参考<\/h2> getRequestURI()带来的安全问题<\/li> Apache Shiro修复commit: https:\/\/github.com\/apache\/shiro\/commit\/3708d7907016bf2fa12691dff6ff0def1249b8ce<\/li> <\/ol>`

Tomcat URL解析差异性导致的安全问题分析<\/h1>

特殊字符的URL解析<\/h3> 通过实验测试Tomcat对不同特殊字符的处理：<\/p>

正常访问<\/h4> http:\/\/localhost:8080\/urltest\/index.jsp<\/code> - 正常输出各函数解析结果<\/p>

0x04 攻击利用<\/h2>

修复方案<\/h3> 使用getPathInfo()<\/code>替代getRequestURI()<\/code>，如Apache Shiro的修复方案所示。<\/p>

0x05 参考<\/h2> getRequestURI()带来的安全问题<\/li> Apache Shiro修复commit: https:\/\/github.com\/apache\/shiro\/commit\/3708d7907016bf2fa12691dff6ff0def1249b8ce<\/li> <\/ol>

特殊字符的URL解析<\/h3>
通过实验测试Tomcat对不同特殊字符的处理：<\/p>

正常访问<\/h4>
`http:\/\/localhost:8080\/urltest\/index.jsp<\/code> - 正常输出各函数解析结果<\/p>`

修复方案<\/h3>
使用`getPathInfo()<\/code>替代getRequestURI()<\/code>，如Apache Shiro的修复方案所示。<\/p>`

`0x05 参考<\/h2> getRequestURI()带来的安全问题<\/li> Apache Shiro修复commit: https:\/\/github.com\/apache\/shiro\/commit\/3708d7907016bf2fa12691dff6ff0def1249b8ce<\/li> <\/ol>`