DAY119-代码审计&JAVAEE开发篇&身份验证鉴权逻辑&过滤器&拦截器&shiro框架&JWT技术

一、新蜂商城 NewBee（拦截器）

1、maven环境配置

http://127.0.0.1:28089/

2、排查鉴权

3、判断逻辑

if (uri.startsWith("/admin") && null == request.getSession().getAttribute("loginUser")) {

/admin或session为空有一个符合跳转登录

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {

//admin

绕过鉴权

二、JSH_ERP-v2.1过滤器绕过

1、启动环境

2、寻找特征

审计核心代码

public void doFilter(ServletRequest request, ServletResponse response,

requestUrl != null && (requestUrl.contains("/login.html") || requestUrl.contains("/register.html"

Url要包含地址/login.html或/register.html

http://127.0.0.1:8877/login.html../acount/getAccount

绕过

三、shiro鉴权绕过

1、shiro判断

2、逻辑判断

当你访问这个项目的url时候，会有拦截功能，也就是不可以随意地去访问项目的url，拦截后的请求会被重定向到开始的登录界面

http://192.168.199.163:8080/comment/1

四、jwt身份验证

1、配置环境

2、配置文件发现jwt的特征

3、抓包

修改时间戳，默认空加密，拿到密钥修改时间戳才可以正确使用

nacos同理默认密钥没有修改，修改用户后绕过登录