【生产问题记录】shiro版本升级引起页面偶发NPE

原创 于 2025-04-07 15:56:34 发布 · 533 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #java #经验分享

问题描述

如题,在一次为修复流水线安全扫描漏洞进行依赖组件版本升级的过程中,出现生产环境升级jar版本后偶发NPE问题(由于版本发布包含其他需求的代码改动,多人协同敏捷开发,最初并不确定时jar升级导致的,经本地切换分支对比后得出结论是因为升级jar导致的问题)。该次jar版本升级情况为如下: 出现问题的是shiro-web v1.9.0-》v1.12.0jar升级情况

原因分析

  1. 代码在FilterConfig及ShiroConfig两个配置类中,将ShiroFilter注册了两次,通过调试信息可以看到filterChain中有两个ShiroFilter。一个在XssFilter之前(FilterConfig中定义)一个在靠后的位置(ShiroConfig中定义)。
    过滤器链
  2. 查看源码可知ShiroFilter是OncePerRequestFilter类的子类
    在这里插入图片描述
    在shiro-1.9.0版本中,OncePerRequestFilter过滤器子类型默认只执行一次。切换到shiro-1.12.0后, 暴露filterOncePerRequest 属性,且值默认为false。
    1.9.0shiro
    1.12.0shiro
    debug可知默认filterOncePerRequest=false

所以切换后,第二个ShiroFilter也执行了。

  1. 在执行第二个ShiroFilter时,已经执行过了XssFilter和SqlFilter。在requestheader中没有token或者token已经超时的情况下,会有如下调用栈:
#   在onAccessDenied()->getWrapper()->new ParameterRequestWrapper()->
public ParameterRequestWrapper(HttpServletRequest request) {
    super(request);
   //将参数表,赋予给当前的Map以便于持有request中的参数
    this.params.putAll(request.getParameterMap());
}

# 此时,request.getParameterMap()会调用到SqlInjectHttpServletRequestWrapper类的getParameterMap()。
# SqlInjectHttpServletRequestWrapper#getParameterMap() -> sqlAntiInjectEncode() ->SqlUtil.sqlAntiInject(input);
 public static String sqlAntiInject(String str){
        if(StringUtils.isBlank(str)){
            return null;//粗暴返回了null,因而第二次过oauth2过滤器时存在value=null的参数,导致某个未判空的校验逻辑出现空指针异常
        }
xxxx
}

通过sqlAntiInject方法,将入参中 值为空字符的参数值转为了null

  1. 当Filter执行完,该正常执行读取参数的代码时,request中这类参数的值已经是null,再次调用到XssHttpServletRequestWrapper#的getParameterMap()方法时,其内部的调用栈中,会以参数的值创建类,存在某个未判空的校验逻辑,此时就会报出空指针异常了。

解决方案

方案一:优化完善原代码,避免多次注册相同filter,同时优化入参校验代码

  1. 将FilterConfig及ShiroConfig两个类中注册shiroFilter的代码合并到一个类中,即配置ShiroFilter,又管理filter的执行顺序;
    在这里插入图片描述

  2. 在XssFilter及SqlFilter对参数处理的代码中加入对null的处理,加强代码健壮性

方案二: 显示设置filterOncePerRequest=true,以保证相同filter在一次请求中只执行一次,和升级前1.9.0的效果一致

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        ShiroFilterConfiguration configuration = new ShiroFilterConfiguration();
        configuration.setFilterOncePerRequest(Boolean.TRUE);
        shiroFilterFactoryBean.setShiroFilterConfiguration(configuration);

效果如下图:在这里插入图片描述

shiro1.4.0升级为1.10.0方案
weixin_50167266的博客
08-14 2415
ERROR 500.jsp[148] - Filtered request failed. javax.servlet.ServletException: Filtered request failed.
shiro从1.6.0升级到1.7.1版本,请求路径中带有中文接口报400
weixin_43779793的博客
07-22 1614
shiro从1.6升级到1.7,请求路径中有中文接口报400
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级版本到1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决;
Shiro升级到1.7.x
m0_67393342的博客
03-28 1003
升级步骤 原先的代码没有作修改,只是在pom.xml文件中引入了新的依赖 依赖下载地址:Maven库 需要引入的依赖如下: shiro-core-1.7.0.jar shiro-web-1.7.0.jar shiro-ehcache-1.7.0.jar commons-beanutils-1.9.4.jar encoder-1.2.2.jar 具体的依赖文本 org.apache.shiro shiro-web 1.7.1 org.apache.
shiro升级到shiro-1.7.1
zhuimenghou的博客
07-20 3284
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
shiro升级quartz到2.1.6版本
nonobabaya的博客
07-20 1512
在做老司机的项目时,spring使用的是4.2.1版本,shiro用的是1.2.3,但是,spring扩展中 spring-context使用的quartz2的版本, 而shiro到现在还是使用的quartz1.6.1版本,所以,把spring降下来是不可能了,因为很多扩展都给予spring4,所以想把shiro升上去 是最好的解决方法,综合了网上升级spring的方法,使用以下方式升级shi...
shiro1.6版本
09-07
Apache Shiro 1.6.0 版本于2020年8月17日正式发布,这个版本主要是为了提升安全性,修复了之前版本中存在的一些关键问题。其中最重要的修复是针对认证过程中的漏洞,该漏洞可能导致用户无需正确凭证就能访问受保护的...
精选资源
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
springbootshiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成...
shiro-jar-1.4版本升级到1.6版本问题探讨
weixin_38215472的博客
10-30 4279
最近公司领导用阿里云的工具扫描服务器上的项目,发现很多的高危漏洞; 其中有一个是shiro-jar-1.4版本存在高风险漏洞,所以赶紧解决它: 项目情况:这个项目是公司以前的旧项目,没有源代码,只有服务器上面的 war 包文件。 开始干活: 在官网下载了shiro-1.6的相关jar包文件: 然后把项目服务停掉,把shiro-1.4的jar 包删除了,上传1.6的版本jar 包,重启服务器; 呃,启动正常访问不了,查看错误日志: 提示项目jdk的版本不一致!!!!!! shiro-1.4
精选资源
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro所有版本jar
04-03
shiro所有的jar包 还有跟cas集成的jar包 以及shiro官网的jar下载地址
shiro最简单整合版本
06-08
shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6937
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shirospring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本的shiro-1.3.2也可顺利升级至shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
shiro低版本的漏洞通过升级shiro版本解决
会写Bug的攻城狮
04-05 2557
攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(优快云中的好多用户都是上传到博客中,但一下载就收费,感觉很不好)由于版本升级附带了一些其它功能,还需要以下两个jar包:(都可以从上面的库中查找到)出现的问题shiro1.3升级1.7遇到重定向登录页面时报400错误。关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例)将低版本升级到高版本1.7.0---->1.9.1。下载地址:(Maven库)
shiro1.10.0 升级排坑日志
冰剑的专栏
10-16 3341
shiro1.10.0 升级排坑日志
shiro 升级 quarz 2.2
Hi, Sun
03-23 292
http://nonobaba.iteye.com/blog/2312468
记一次shiro升级版本,1.3.0——>1.10.0,登录失败的问题
weixin_42045233的博客
07-30 559
shiro升级版本问题
jdk升级,shiro升级2.0.1切换jakarta,不再使用javax
最新发布
李潇然的博客
10-28 1114
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <classifier>jakarta</classifier> <version>${shiro.v...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值