Spring 5.0.3 RequestRejectedException : URL이 정규화되지 않았기 때문에 요청이 거부되었습니다.

88

이것이 Spring 5.0.3의 버그인지 아니면 내 쪽에서 문제를 해결하는 새로운 기능인지 확실하지 않습니다.

업그레이드 후이 오류가 발생합니다. 흥미롭게도이 오류는 내 로컬 컴퓨터에만 있습니다. HTTPS 프로토콜을 사용하는 테스트 환경의 동일한 코드가 제대로 작동합니다.

계속 ...

이 오류가 발생하는 이유는 결과 JSP 페이지를로드하는 URL이 /location/thisPage.jsp. 코드 request.getRequestURI()를 평가 하면 결과를 얻을 수 있습니다 /WEB-INF/somelocation//location/thisPage.jsp. JSP 페이지의 URL을 this로 수정하면 location/thisPage.jsp제대로 작동합니다.

내 질문은 그래서, 나는 제거해야합니다 /에서 JSP이 향후 필요한 사항이기 때문에 코드 경로. 또는 Spring내 컴퓨터와 테스트 환경의 유일한 차이점은 프로토콜 HTTPHTTPS.

 org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.
    at org.springframework.security.web.firewall.StrictHttpFirewall.getFirewalledRequest(StrictHttpFirewall.java:123)
    at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:194)
    at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:186)
    at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:357)
    at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:270)
spring-mvc  spring-security 
java_dude
소스
1
Munish Chandel
1
문제는 5.1.0에서 해결 될 예정입니다. 현재 5.0.0에는이 문제가 없습니다.
java_dude

답변:

67

Spring Security Documentation 은 요청에서 // 차단 이유를 언급합니다.

예를 들어, 경로 순회 시퀀스 (예 : /../) 또는 여러 개의 슬래시 (//)를 포함 할 수 있으며 이로 인해 패턴 일치가 실패 할 수도 있습니다. 일부 컨테이너는 서블릿 매핑을 수행하기 전에이를 정규화하지만 다른 컨테이너는 그렇지 않습니다. 이러한 문제로부터 보호하기 위해 FilterChainProxy는 HttpFirewall 전략을 사용하여 요청을 확인하고 래핑합니다. 정규화되지 않은 요청은 기본적으로 자동으로 거부되며 일치를 위해 경로 매개 변수와 중복 슬래시가 제거됩니다.

그래서 두 가지 가능한 해결책이 있습니다.

  1. 이중 슬래시 제거 (선호하는 방법)
  2. 아래 코드를 사용하여 StrictHttpFirewall을 사용자 정의하여 Spring Security에서 // 허용하십시오.

1 단계 URL에서 슬래시를 허용하는 사용자 지정 방화벽을 만듭니다.

@Bean
public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowUrlEncodedSlash(true);    
    return firewall;
}

2 단계 그리고 웹 보안에서이 빈을 구성합니다.

@Override
public void configure(WebSecurity web) throws Exception {
    //@formatter:off
    super.configure(web);
    web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
....
}

2 단계는 선택적 단계이며 Spring Boot는 유형으로 선언 할 Bean이 필요합니다. HttpFirewall

Munish Chandel
소스
예 경로 횡단 보안이 도입되었습니다. 이는 새로운 기능이며 이로 인해 문제가 발생할 수 있습니다. HTTP가 아닌 HTTPS에서 작동한다는 것을 알기 때문에 확실하지 않습니다. 차라리이 버그가 해결 될 때까지 기다릴 것 jira.spring.io/browse/SPR-16419
java_dude
아마도 우리 문제의 일부일 가능성이 있지만 ... 사용자가 //를 입력하지 않았으므로 두 번째 /가 처음에 추가되는 방법을 알아 내려고합니다. jstl url을 추가하거나 추가 한 후 정규화해서는 안됩니다.
xenoterracide
4
이것은 적어도 Spring Security 5.1.1의 경우 실제로 해결책을 해결하지 못합니다. a / b // c와 같은 두 개의 슬래시가있는 URL이 필요한 경우 DefaultHttpFirewall을 사용해야합니다. isNormalized 메서드는 StrictHttpFirewall에서 구성하거나 재정의 할 수 없습니다.
Jason Winnebeck
누군가 Boot가 아닌 Spring에서만 이것을 수행하는 방법에 대한 포인터를 줄 수 있습니까?
schoon은
28

setAllowUrlEncodedSlash(true)나를 위해 일하지 않았다. 이중 슬래시가있는 경우 여전히 내부 메서드가 isNormalized반환 false됩니다.

다음 코드 만 StrictHttpFirewall사용 DefaultHttpFirewall하여 대체 했습니다 .

@Bean
public HttpFirewall defaultHttpFirewall() {
    return new DefaultHttpFirewall();
}

나를 위해 잘 작동합니다.
사용하여 어떤 위험이 DefaultHttpFirewall있습니까?

마 오르 체 트리트
소스
1
예. 룸메이트를위한 여분의 열쇠를 만들 수 없다고해서 현관 매트 아래에 유일한 열쇠를 두어야한다는 의미는 아닙니다. 권장하지 않습니다. 보안을 변경해서는 안됩니다.
java_dude
16
@java_dude 정보 나 근거를 전혀 제공하지 않은 방법이 훌륭합니다. 모호한 비유입니다.
kaqqao
또 다른 옵션은 이 답변에StrictHttpFirewall 자세히 설명 된대로 URL 거부에 대해 좀 더 제어 할 수 있도록 하위 클래스 를 만드는 입니다.
vallismortis
1
: 이것은 나를 위해 일하지만, 나 또한 내 콩 XML이를 추가했다<sec:http-firewall ref="defaultHttpFirewall"/>
제이슨 Winnebeck을
1
이 솔루션을 사용하면 어떤 의미가 있습니까?
Felipe Desiderati
10

다음과 같은 문제가 발생했습니다.

Spring Boot 버전 = 1.5.10
Spring Security 버전 = 4.2.4


엔드 포인트에서 문제점이 발생했습니다. 여기서 ModelAndViewviewName은 선행 슬래시 로 정의되었습니다 . 예:

ModelAndView mav = new ModelAndView("/your-view-here");

슬래시를 제거하면 잘 작동했습니다. 예:

ModelAndView mav = new ModelAndView("your-view-here");

또한 RedirectView로 몇 가지 테스트 를 수행했으며 선행 슬래시로 작동하는 것처럼 보였습니다.

Torsten Ojaperv
소스
2
그것은 해결책이 아닙니다. 이것이 Spring 측의 버그라면 어떨까요? 변경된 경우 모든 변경 사항을 다시 실행 취소해야합니다. 차라리 5.1까지 기다릴 것입니다.
java_dude
1
슬래시를 사용하지 않고 viewName을 정의하면 이전 버전에서 제대로 작동하므로 변경 사항을 되돌릴 필요가 없습니다.
Torsten Ojaperv
그게 바로 문제입니다. 잘 작동하고 아무것도 변경하지 않았다면 Spring은 버그를 도입했습니다. 경로는 항상 "/"로 시작해야합니다. 봄 문서를 확인하십시오. 이 체크 아웃 github.com/spring-projects/spring-security/issues/5007github.com/spring-projects/spring-security/issues/5044
java_dude
1
이것도 저를 물었습니다. 선행 '/'없이 모든 ModelAndView를 업데이트하면 문제가 해결되었습니다
Nathan Perrier 2018
jira.spring.io/browse/SPR-16740 버그를 열었지만 선행 / 제거는 저에게 수정되지 않았으며 대부분의 경우 뷰 이름을 문자열로 반환합니다 (컨트롤러에서) . 리다이렉트 뷰를 해결책으로보아야합니다.
xenoterracide
4

내 경우는, 4.2.12에 스프링 securiy - 웹 3.1.3에서 업그레이드 defaultHttpFirewall로 변경되었습니다 DefaultHttpFirewallStrictHttpFirewall기본적으로. 따라서 아래와 같이 XML 구성에서 정의하십시오.

<bean id="defaultHttpFirewall" class="org.springframework.security.web.firewall.DefaultHttpFirewall"/>
<sec:http-firewall ref="defaultHttpFirewall"/>

다음 HTTPFirewall으로 설정DefaultHttpFirewall

빙신
소스
1
무슨 일이 일어나고 있는지, 왜 그런지 설명하는 설명을 코드에 추가하십시오. 이것은 좋은 습관입니다. 그렇지 않으면 답변이 삭제 될 위험이 있습니다. 이미 낮은 품질로 표시되었습니다.
herrbischoff
3

아래 솔루션은 깨끗한 해결 방법입니다. 동일한 엄격한 방화벽을 사용하고 있기 때문에 보안이 손상되지 않습니다.

수정 단계는 다음과 같습니다.

1 단계 : 아래와 같이 StrictHttpFirewall 을 재정의하는 클래스를 만듭니다 .

package com.biz.brains.project.security.firewall;

import java.util.Arrays;
import java.util.Collection;
import java.util.Collections;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.HttpMethod;
import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.HttpFirewall;
import org.springframework.security.web.firewall.RequestRejectedException;

public class CustomStrictHttpFirewall implements HttpFirewall {
    private static final Set<String> ALLOW_ANY_HTTP_METHOD = Collections.unmodifiableSet(Collections.emptySet());

    private static final String ENCODED_PERCENT = "%25";

    private static final String PERCENT = "%";

    private static final List<String> FORBIDDEN_ENCODED_PERIOD = Collections.unmodifiableList(Arrays.asList("%2e", "%2E"));

    private static final List<String> FORBIDDEN_SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));

    private static final List<String> FORBIDDEN_FORWARDSLASH = Collections.unmodifiableList(Arrays.asList("%2f", "%2F"));

    private static final List<String> FORBIDDEN_BACKSLASH = Collections.unmodifiableList(Arrays.asList("\\", "%5c", "%5C"));

    private Set<String> encodedUrlBlacklist = new HashSet<String>();

    private Set<String> decodedUrlBlacklist = new HashSet<String>();

    private Set<String> allowedHttpMethods = createDefaultAllowedHttpMethods();

    public CustomStrictHttpFirewall() {
        urlBlacklistsAddAll(FORBIDDEN_SEMICOLON);
        urlBlacklistsAddAll(FORBIDDEN_FORWARDSLASH);
        urlBlacklistsAddAll(FORBIDDEN_BACKSLASH);

        this.encodedUrlBlacklist.add(ENCODED_PERCENT);
        this.encodedUrlBlacklist.addAll(FORBIDDEN_ENCODED_PERIOD);
        this.decodedUrlBlacklist.add(PERCENT);
    }

    public void setUnsafeAllowAnyHttpMethod(boolean unsafeAllowAnyHttpMethod) {
        this.allowedHttpMethods = unsafeAllowAnyHttpMethod ? ALLOW_ANY_HTTP_METHOD : createDefaultAllowedHttpMethods();
    }

    public void setAllowedHttpMethods(Collection<String> allowedHttpMethods) {
        if (allowedHttpMethods == null) {
            throw new IllegalArgumentException("allowedHttpMethods cannot be null");
        }
        if (allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {
            this.allowedHttpMethods = ALLOW_ANY_HTTP_METHOD;
        } else {
            this.allowedHttpMethods = new HashSet<>(allowedHttpMethods);
        }
    }

    public void setAllowSemicolon(boolean allowSemicolon) {
        if (allowSemicolon) {
            urlBlacklistsRemoveAll(FORBIDDEN_SEMICOLON);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_SEMICOLON);
        }
    }

    public void setAllowUrlEncodedSlash(boolean allowUrlEncodedSlash) {
        if (allowUrlEncodedSlash) {
            urlBlacklistsRemoveAll(FORBIDDEN_FORWARDSLASH);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_FORWARDSLASH);
        }
    }

    public void setAllowUrlEncodedPeriod(boolean allowUrlEncodedPeriod) {
        if (allowUrlEncodedPeriod) {
            this.encodedUrlBlacklist.removeAll(FORBIDDEN_ENCODED_PERIOD);
        } else {
            this.encodedUrlBlacklist.addAll(FORBIDDEN_ENCODED_PERIOD);
        }
    }

    public void setAllowBackSlash(boolean allowBackSlash) {
        if (allowBackSlash) {
            urlBlacklistsRemoveAll(FORBIDDEN_BACKSLASH);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_BACKSLASH);
        }
    }

    public void setAllowUrlEncodedPercent(boolean allowUrlEncodedPercent) {
        if (allowUrlEncodedPercent) {
            this.encodedUrlBlacklist.remove(ENCODED_PERCENT);
            this.decodedUrlBlacklist.remove(PERCENT);
        } else {
            this.encodedUrlBlacklist.add(ENCODED_PERCENT);
            this.decodedUrlBlacklist.add(PERCENT);
        }
    }

    private void urlBlacklistsAddAll(Collection<String> values) {
        this.encodedUrlBlacklist.addAll(values);
        this.decodedUrlBlacklist.addAll(values);
    }

    private void urlBlacklistsRemoveAll(Collection<String> values) {
        this.encodedUrlBlacklist.removeAll(values);
        this.decodedUrlBlacklist.removeAll(values);
    }

    @Override
    public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
        rejectForbiddenHttpMethod(request);
        rejectedBlacklistedUrls(request);

        if (!isNormalized(request)) {
            request.setAttribute("isNormalized", new RequestRejectedException("The request was rejected because the URL was not normalized."));
        }

        String requestUri = request.getRequestURI();
        if (!containsOnlyPrintableAsciiCharacters(requestUri)) {
            request.setAttribute("isNormalized",  new RequestRejectedException("The requestURI was rejected because it can only contain printable ASCII characters."));
        }
        return new FirewalledRequest(request) {
            @Override
            public void reset() {
            }
        };
    }

    private void rejectForbiddenHttpMethod(HttpServletRequest request) {
        if (this.allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {
            return;
        }
        if (!this.allowedHttpMethods.contains(request.getMethod())) {
            request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the HTTP method \"" +
                    request.getMethod() +
                    "\" was not included within the whitelist " +
                    this.allowedHttpMethods));
        }
    }

    private void rejectedBlacklistedUrls(HttpServletRequest request) {
        for (String forbidden : this.encodedUrlBlacklist) {
            if (encodedUrlContains(request, forbidden)) {
                request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\""));
            }
        }
        for (String forbidden : this.decodedUrlBlacklist) {
            if (decodedUrlContains(request, forbidden)) {
                request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\""));
            }
        }
    }

    @Override
    public HttpServletResponse getFirewalledResponse(HttpServletResponse response) {
        return new FirewalledResponse(response);
    }

    private static Set<String> createDefaultAllowedHttpMethods() {
        Set<String> result = new HashSet<>();
        result.add(HttpMethod.DELETE.name());
        result.add(HttpMethod.GET.name());
        result.add(HttpMethod.HEAD.name());
        result.add(HttpMethod.OPTIONS.name());
        result.add(HttpMethod.PATCH.name());
        result.add(HttpMethod.POST.name());
        result.add(HttpMethod.PUT.name());
        return result;
    }

    private static boolean isNormalized(HttpServletRequest request) {
        if (!isNormalized(request.getRequestURI())) {
            return false;
        }
        if (!isNormalized(request.getContextPath())) {
            return false;
        }
        if (!isNormalized(request.getServletPath())) {
            return false;
        }
        if (!isNormalized(request.getPathInfo())) {
            return false;
        }
        return true;
    }

    private static boolean encodedUrlContains(HttpServletRequest request, String value) {
        if (valueContains(request.getContextPath(), value)) {
            return true;
        }
        return valueContains(request.getRequestURI(), value);
    }

    private static boolean decodedUrlContains(HttpServletRequest request, String value) {
        if (valueContains(request.getServletPath(), value)) {
            return true;
        }
        if (valueContains(request.getPathInfo(), value)) {
            return true;
        }
        return false;
    }

    private static boolean containsOnlyPrintableAsciiCharacters(String uri) {
        int length = uri.length();
        for (int i = 0; i < length; i++) {
            char c = uri.charAt(i);
            if (c < '\u0020' || c > '\u007e') {
                return false;
            }
        }

        return true;
    }

    private static boolean valueContains(String value, String contains) {
        return value != null && value.contains(contains);
    }

    private static boolean isNormalized(String path) {
        if (path == null) {
            return true;
        }

        if (path.indexOf("//") > -1) {
            return false;
        }

        for (int j = path.length(); j > 0;) {
            int i = path.lastIndexOf('/', j - 1);
            int gap = j - i;

            if (gap == 2 && path.charAt(i + 1) == '.') {
                // ".", "/./" or "/."
                return false;
            } else if (gap == 3 && path.charAt(i + 1) == '.' && path.charAt(i + 2) == '.') {
                return false;
            }

            j = i;
        }

        return true;
    }

}

2 단계 : FirewalledResponse 클래스 만들기

package com.biz.brains.project.security.firewall;

import java.io.IOException;
import java.util.regex.Pattern;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

class FirewalledResponse extends HttpServletResponseWrapper {
    private static final Pattern CR_OR_LF = Pattern.compile("\\r|\\n");
    private static final String LOCATION_HEADER = "Location";
    private static final String SET_COOKIE_HEADER = "Set-Cookie";

    public FirewalledResponse(HttpServletResponse response) {
        super(response);
    }

    @Override
    public void sendRedirect(String location) throws IOException {
        // TODO: implement pluggable validation, instead of simple blacklisting.
        // SEC-1790. Prevent redirects containing CRLF
        validateCrlf(LOCATION_HEADER, location);
        super.sendRedirect(location);
    }

    @Override
    public void setHeader(String name, String value) {
        validateCrlf(name, value);
        super.setHeader(name, value);
    }

    @Override
    public void addHeader(String name, String value) {
        validateCrlf(name, value);
        super.addHeader(name, value);
    }

    @Override
    public void addCookie(Cookie cookie) {
        if (cookie != null) {
            validateCrlf(SET_COOKIE_HEADER, cookie.getName());
            validateCrlf(SET_COOKIE_HEADER, cookie.getValue());
            validateCrlf(SET_COOKIE_HEADER, cookie.getPath());
            validateCrlf(SET_COOKIE_HEADER, cookie.getDomain());
            validateCrlf(SET_COOKIE_HEADER, cookie.getComment());
        }
        super.addCookie(cookie);
    }

    void validateCrlf(String name, String value) {
        if (hasCrlf(name) || hasCrlf(value)) {
            throw new IllegalArgumentException(
                    "Invalid characters (CR/LF) in header " + name);
        }
    }

    private boolean hasCrlf(String value) {
        return value != null && CR_OR_LF.matcher(value).find();
    }
}

3 단계 : RejectedException 을 억제하기위한 사용자 지정 필터 생성

package com.biz.brains.project.security.filter;

import java.io.IOException;
import java.util.Objects;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.http.HttpHeaders;
import org.springframework.security.web.firewall.RequestRejectedException;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.GenericFilterBean;

import lombok.extern.slf4j.Slf4j;

@Component
@Slf4j
@Order(Ordered.HIGHEST_PRECEDENCE)
public class RequestRejectedExceptionFilter extends GenericFilterBean {

        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
            try {
                RequestRejectedException requestRejectedException=(RequestRejectedException) servletRequest.getAttribute("isNormalized");
                if(Objects.nonNull(requestRejectedException)) {
                    throw requestRejectedException;
                }else {
                    filterChain.doFilter(servletRequest, servletResponse);
                }
            } catch (RequestRejectedException requestRejectedException) {
                HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
                HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
                log
                    .error(
                            "request_rejected: remote={}, user_agent={}, request_url={}",
                            httpServletRequest.getRemoteHost(),  
                            httpServletRequest.getHeader(HttpHeaders.USER_AGENT),
                            httpServletRequest.getRequestURL(), 
                            requestRejectedException
                    );

                httpServletResponse.sendError(HttpServletResponse.SC_NOT_FOUND);
            }
        }
}

4 단계 : 보안 구성에서 스프링 필터 체인에 맞춤 필터 추가

@Override
protected void configure(HttpSecurity http) throws Exception {
     http.addFilterBefore(new RequestRejectedExceptionFilter(),
             ChannelProcessingFilter.class);
}

이제 위의 수정을 사용하여 RequestRejectedException오류 404 페이지를 처리 할 수 ​​있습니다 .

벤 카트 라만 무투 크리슈 난
소스
감사합니다. 이것은 프론트 엔드 앱이 모두 업그레이드 될 때까지 Java 마이크로 서비스를 업그레이드 할 수 있도록 임시로 사용한 접근 방식입니다. '//'가 정규화 된 것으로 간주되도록하려면 3 단계와 4 단계가 필요하지 않았습니다. isNormalized에서 이중 슬래시를 확인한 조건을 주석 처리 한 다음 대신 CustomStrictHttpFirewall 클래스를 사용하도록 Bean을 구성했습니다.
gtaborga
구성을 통해 더 쉬운 해결 방법이 있습니까? 그러나 방화벽 .. 끄지 않고
Prathamesh dhanawade
0

제 경우 문제는 Postman에 로그인하지 않아서 발생했기 때문에 Chrome 세션의 헤더에서 가져온 세션 쿠키로 다른 탭에서 연결을 열었습니다.

알렉스 D
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.