Spring 5.0.3 RequestRejectedException:URLが正規化されていないため、リクエストが拒否されました

88

これがSpring5.0.3のバグなのか、それとも私の側で問題を修正するための新機能なのかわからない。

アップグレード後、このエラーが発生します。興味深いことに、このエラーは私のローカルマシンでのみ発生します。HTTPSプロトコルを使用したテスト環境での同じコードは正常に機能します。

続く...

このエラーが発生する理由は、結果のJSPページをロードするためのURLがであるためです/location/thisPage.jsp。コードrequest.getRequestURI()を評価すると結果が得られます/WEB-INF/somelocation//location/thisPage.jsp。JSPページのURLをこれに固定すれば問題location/thisPage.jspなく動作します。

だから私の質問は、コードのパス/から削除するJSP必要があるということです。それが今後必要になるからです。それともSpring私のマシンとテスト環境の間の唯一の違いは、プロトコルであるとしてバグを導入しているHTTPHTTPS

 org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.
    at org.springframework.security.web.firewall.StrictHttpFirewall.getFirewalledRequest(StrictHttpFirewall.java:123)
    at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:194)
    at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:186)
    at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:357)
    at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:270)
spring-mvc  spring-security 
java_dude
ソース
1
Munish Chandel 2018
1
この問題は5.1.0で解決される予定です。現在、5.0.0にはこの問題はありません。
java_dude 2018

回答:

67

Spring Security Documentationには、リクエストで//ブロックする理由が記載されています。

たとえば、パストラバーサルシーケンス(/../など)や複数のスラッシュ(//)が含まれている可能性があり、パターンの一致が失敗する可能性もあります。一部のコンテナは、サーブレットマッピングを実行する前にこれらを正規化しますが、そうでないコンテナもあります。このような問題から保護するために、FilterChainProxyはHttpFirewall戦略を使用してリクエストをチェックしてラップします。正規化されていないリクエストはデフォルトで自動的に拒否され、パスパラメータと重複するスラッシュは照合のために削除されます。

したがって、2つの可能な解決策があります-

  1. 二重スラッシュを削除する(推奨されるアプローチ)
  2. 以下のコードを使用してStrictHttpFirewallをカスタマイズすることにより、SpringSecurityで//を許可します。

ステップ 1URLでスラッシュを許可するカスタムファイアウォールを作成します。

@Bean
public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowUrlEncodedSlash(true);    
    return firewall;
}

ステップ2次に、このBeanをWebセキュリティで設定します

@Override
public void configure(WebSecurity web) throws Exception {
    //@formatter:off
    super.configure(web);
    web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
....
}

ステップ2はオプションのステップです。SpringBootでは、型を宣言するためにBeanが必要です。 HttpFirewall

マニッシュシャンデル
ソース
はい、パストラバーサルセキュリティが導入されました。これは新機能であり、これが問題の原因である可能性があります。HTTPではなくHTTPSで機能するので、よくわかりません。私はむしろ、このバグが解決されるまで待ってjira.spring.io/browse/SPR-16419
java_dude
おそらく私たちの問題の一部です...しかし...ユーザーが//を入力していないので、最初にその2番目の/がどのように追加されているのかを理解しようとしています...春が私たちを生成している場合jstl urlはそれを追加しないか、追加後に正規化する必要があります。
xenoterracide 2018
4
これは、少なくともSpring Security 5.1.1の場合、実際にはソリューションを解決しません。a / b // cのようにスラッシュが2つ付いたURLが必要な場合は、DefaultHttpFirewallを使用する必要があります。isNormalizedメソッドは、StrictHttpFirewallで構成またはオーバーライドすることはできません。
Jason Winnebeck 2018年
BootではなくSpringだけでこれを行う方法について誰かがポインタを与える可能性はありますか?
スクーン
28

setAllowUrlEncodedSlash(true)私にはうまくいきませんでした。ダブルスラッシュがある場合でも、内部メソッドはisNormalized戻りfalseます。

私は次のコードのみを持つことで置き換えStrictHttpFirewallましDefaultHttpFirewallた:

@Bean
public HttpFirewall defaultHttpFirewall() {
    return new DefaultHttpFirewall();
}

私のためにうまく働いています。
使用によるリスクはありDefaultHttpFirewallますか?

maor chetrit
ソース
1
はい。ルームメイト用の予備の鍵を作成できないからといって、玄関マットの下に唯一の鍵を置く必要があるという意味ではありません。アドバイスはありません。セキュリティは変更しないでください。
java_dude 2018年
16
@java_dude情報や理論的根拠をまったく提供しなかったのは素晴らしいことで、漠然とした例えです。
kaqqao 2018
別のオプションはStrictHttpFirewallこの回答で詳しく説明されているように、URLの拒否をもう少し制御できるようにサブクラス化することです。
vallismortis 2018
1
これは私のために働いたが、私はまた私の豆XMLでこれを追加する必要がありました:<sec:http-firewall ref="defaultHttpFirewall"/>
ジェイソンWinnebeck
1
このソリューションを使用することの意味は何ですか?
FelipeDesiderati19年
10

私は同じ問題に遭遇しました:

SpringBootバージョン= 1.5.10 SpringSecurity
バージョン= 4.2.4


この問題は、ModelAndViewviewNameが先行するスラッシュで定義されているエンドポイントで発生しました。例:

ModelAndView mav = new ModelAndView("/your-view-here");

スラッシュを削除すると、正常に機能しました。例:

ModelAndView mav = new ModelAndView("your-view-here");

また、RedirectViewを使用していくつかのテストを行いましたが、前のスラッシュで機能するようでした。

Torsten Ojaperv
ソース
2
それは解決策ではありません。これがSpring側のバグだったとしたらどうでしょう。彼らがそれを変更した場合、あなたは再びすべての変更を元に戻す必要があります。それまでに解決されるとマークされている5.1まで待つほうがいいです。
java_dude 2018年
1
いいえ、スラッシュを前に付けずにviewNameを定義すると古いバージョンで正常に機能するため、変更を元に戻す必要はありません。
Torsten Ojaperv 2018年
それがまさに問題です。それが正常に機能し、何も変更しなかった場合、Springはバグを導入しています。パスは常に「/」で始まる必要があります。Springのドキュメントをチェックしてください。これらをチェックgithub.com/spring-projects/spring-security/issues/5007github.com/spring-projects/spring-security/issues/5044
java_dude
1
これも私を噛みました。先頭の「/」なしですべてのModelAndViewを更新すると、問題が修正されました
Nathan Perrier
jira.spring.io/browse/SPR-16740バグを開きましたが、先頭の/を削除しても修正されませんでした。ほとんどの場合、ビュー名を文字列として(コントローラーから)返すだけです。 。解決策としてリダイレクトビューを検討する必要があります。
xenoterracide 2018
6

APIの呼び出し中にダブルスラッシュを使用すると、同じエラーが発生しました。

私は呼び出す必要があったのhttpを:// localhostを:8080 / getSomethingが、私は好きでやったのhttp:// localhostを:8080 // getSomething。余分なスラッシュを削除して解決しました。

ビカス・クマール
ソース
クライアントに間違った入力について通知できるように、これに対する例外処理を記述できますか?
YouAreAwesome
4

私の場合、spring-securiy-web 3.1.3から4.2.12にアップグレードすると、デフォルトでdefaultHttpFirewallからに変更されDefaultHttpFirewallましStrictHttpFirewallた。したがって、以下のようにXML構成で定義するだけです。

<bean id="defaultHttpFirewall" class="org.springframework.security.web.firewall.DefaultHttpFirewall"/>
<sec:http-firewall ref="defaultHttpFirewall"/>

HTTPFirewallとして設定DefaultHttpFirewall

謝冰心
ソース
1
何が起こっているのか、そしてその理由を説明する説明をコードに追加してください。これは良い習慣です。そうしないと、回答が削除されるリスクがあります。すでに低品質としてフラグが立てられています。
herrbischoff
3

以下の解決策はクリーンな回避策です。同じ厳格なファイアウォールを使用しているため、セキュリティが損なわれることはありません。

修正の手順は次のとおりです。

ステップ1:以下のようにStrictHttpFirewallをオーバーライドするクラスを作成します。

package com.biz.brains.project.security.firewall;

import java.util.Arrays;
import java.util.Collection;
import java.util.Collections;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.HttpMethod;
import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.HttpFirewall;
import org.springframework.security.web.firewall.RequestRejectedException;

public class CustomStrictHttpFirewall implements HttpFirewall {
    private static final Set<String> ALLOW_ANY_HTTP_METHOD = Collections.unmodifiableSet(Collections.emptySet());

    private static final String ENCODED_PERCENT = "%25";

    private static final String PERCENT = "%";

    private static final List<String> FORBIDDEN_ENCODED_PERIOD = Collections.unmodifiableList(Arrays.asList("%2e", "%2E"));

    private static final List<String> FORBIDDEN_SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));

    private static final List<String> FORBIDDEN_FORWARDSLASH = Collections.unmodifiableList(Arrays.asList("%2f", "%2F"));

    private static final List<String> FORBIDDEN_BACKSLASH = Collections.unmodifiableList(Arrays.asList("\\", "%5c", "%5C"));

    private Set<String> encodedUrlBlacklist = new HashSet<String>();

    private Set<String> decodedUrlBlacklist = new HashSet<String>();

    private Set<String> allowedHttpMethods = createDefaultAllowedHttpMethods();

    public CustomStrictHttpFirewall() {
        urlBlacklistsAddAll(FORBIDDEN_SEMICOLON);
        urlBlacklistsAddAll(FORBIDDEN_FORWARDSLASH);
        urlBlacklistsAddAll(FORBIDDEN_BACKSLASH);

        this.encodedUrlBlacklist.add(ENCODED_PERCENT);
        this.encodedUrlBlacklist.addAll(FORBIDDEN_ENCODED_PERIOD);
        this.decodedUrlBlacklist.add(PERCENT);
    }

    public void setUnsafeAllowAnyHttpMethod(boolean unsafeAllowAnyHttpMethod) {
        this.allowedHttpMethods = unsafeAllowAnyHttpMethod ? ALLOW_ANY_HTTP_METHOD : createDefaultAllowedHttpMethods();
    }

    public void setAllowedHttpMethods(Collection<String> allowedHttpMethods) {
        if (allowedHttpMethods == null) {
            throw new IllegalArgumentException("allowedHttpMethods cannot be null");
        }
        if (allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {
            this.allowedHttpMethods = ALLOW_ANY_HTTP_METHOD;
        } else {
            this.allowedHttpMethods = new HashSet<>(allowedHttpMethods);
        }
    }

    public void setAllowSemicolon(boolean allowSemicolon) {
        if (allowSemicolon) {
            urlBlacklistsRemoveAll(FORBIDDEN_SEMICOLON);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_SEMICOLON);
        }
    }

    public void setAllowUrlEncodedSlash(boolean allowUrlEncodedSlash) {
        if (allowUrlEncodedSlash) {
            urlBlacklistsRemoveAll(FORBIDDEN_FORWARDSLASH);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_FORWARDSLASH);
        }
    }

    public void setAllowUrlEncodedPeriod(boolean allowUrlEncodedPeriod) {
        if (allowUrlEncodedPeriod) {
            this.encodedUrlBlacklist.removeAll(FORBIDDEN_ENCODED_PERIOD);
        } else {
            this.encodedUrlBlacklist.addAll(FORBIDDEN_ENCODED_PERIOD);
        }
    }

    public void setAllowBackSlash(boolean allowBackSlash) {
        if (allowBackSlash) {
            urlBlacklistsRemoveAll(FORBIDDEN_BACKSLASH);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_BACKSLASH);
        }
    }

    public void setAllowUrlEncodedPercent(boolean allowUrlEncodedPercent) {
        if (allowUrlEncodedPercent) {
            this.encodedUrlBlacklist.remove(ENCODED_PERCENT);
            this.decodedUrlBlacklist.remove(PERCENT);
        } else {
            this.encodedUrlBlacklist.add(ENCODED_PERCENT);
            this.decodedUrlBlacklist.add(PERCENT);
        }
    }

    private void urlBlacklistsAddAll(Collection<String> values) {
        this.encodedUrlBlacklist.addAll(values);
        this.decodedUrlBlacklist.addAll(values);
    }

    private void urlBlacklistsRemoveAll(Collection<String> values) {
        this.encodedUrlBlacklist.removeAll(values);
        this.decodedUrlBlacklist.removeAll(values);
    }

    @Override
    public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
        rejectForbiddenHttpMethod(request);
        rejectedBlacklistedUrls(request);

        if (!isNormalized(request)) {
            request.setAttribute("isNormalized", new RequestRejectedException("The request was rejected because the URL was not normalized."));
        }

        String requestUri = request.getRequestURI();
        if (!containsOnlyPrintableAsciiCharacters(requestUri)) {
            request.setAttribute("isNormalized",  new RequestRejectedException("The requestURI was rejected because it can only contain printable ASCII characters."));
        }
        return new FirewalledRequest(request) {
            @Override
            public void reset() {
            }
        };
    }

    private void rejectForbiddenHttpMethod(HttpServletRequest request) {
        if (this.allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {
            return;
        }
        if (!this.allowedHttpMethods.contains(request.getMethod())) {
            request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the HTTP method \"" +
                    request.getMethod() +
                    "\" was not included within the whitelist " +
                    this.allowedHttpMethods));
        }
    }

    private void rejectedBlacklistedUrls(HttpServletRequest request) {
        for (String forbidden : this.encodedUrlBlacklist) {
            if (encodedUrlContains(request, forbidden)) {
                request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\""));
            }
        }
        for (String forbidden : this.decodedUrlBlacklist) {
            if (decodedUrlContains(request, forbidden)) {
                request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\""));
            }
        }
    }

    @Override
    public HttpServletResponse getFirewalledResponse(HttpServletResponse response) {
        return new FirewalledResponse(response);
    }

    private static Set<String> createDefaultAllowedHttpMethods() {
        Set<String> result = new HashSet<>();
        result.add(HttpMethod.DELETE.name());
        result.add(HttpMethod.GET.name());
        result.add(HttpMethod.HEAD.name());
        result.add(HttpMethod.OPTIONS.name());
        result.add(HttpMethod.PATCH.name());
        result.add(HttpMethod.POST.name());
        result.add(HttpMethod.PUT.name());
        return result;
    }

    private static boolean isNormalized(HttpServletRequest request) {
        if (!isNormalized(request.getRequestURI())) {
            return false;
        }
        if (!isNormalized(request.getContextPath())) {
            return false;
        }
        if (!isNormalized(request.getServletPath())) {
            return false;
        }
        if (!isNormalized(request.getPathInfo())) {
            return false;
        }
        return true;
    }

    private static boolean encodedUrlContains(HttpServletRequest request, String value) {
        if (valueContains(request.getContextPath(), value)) {
            return true;
        }
        return valueContains(request.getRequestURI(), value);
    }

    private static boolean decodedUrlContains(HttpServletRequest request, String value) {
        if (valueContains(request.getServletPath(), value)) {
            return true;
        }
        if (valueContains(request.getPathInfo(), value)) {
            return true;
        }
        return false;
    }

    private static boolean containsOnlyPrintableAsciiCharacters(String uri) {
        int length = uri.length();
        for (int i = 0; i < length; i++) {
            char c = uri.charAt(i);
            if (c < '\u0020' || c > '\u007e') {
                return false;
            }
        }

        return true;
    }

    private static boolean valueContains(String value, String contains) {
        return value != null && value.contains(contains);
    }

    private static boolean isNormalized(String path) {
        if (path == null) {
            return true;
        }

        if (path.indexOf("//") > -1) {
            return false;
        }

        for (int j = path.length(); j > 0;) {
            int i = path.lastIndexOf('/', j - 1);
            int gap = j - i;

            if (gap == 2 && path.charAt(i + 1) == '.') {
                // ".", "/./" or "/."
                return false;
            } else if (gap == 3 && path.charAt(i + 1) == '.' && path.charAt(i + 2) == '.') {
                return false;
            }

            j = i;
        }

        return true;
    }

}

ステップ2:FirewalledResponseクラスを作成する

package com.biz.brains.project.security.firewall;

import java.io.IOException;
import java.util.regex.Pattern;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

class FirewalledResponse extends HttpServletResponseWrapper {
    private static final Pattern CR_OR_LF = Pattern.compile("\\r|\\n");
    private static final String LOCATION_HEADER = "Location";
    private static final String SET_COOKIE_HEADER = "Set-Cookie";

    public FirewalledResponse(HttpServletResponse response) {
        super(response);
    }

    @Override
    public void sendRedirect(String location) throws IOException {
        // TODO: implement pluggable validation, instead of simple blacklisting.
        // SEC-1790. Prevent redirects containing CRLF
        validateCrlf(LOCATION_HEADER, location);
        super.sendRedirect(location);
    }

    @Override
    public void setHeader(String name, String value) {
        validateCrlf(name, value);
        super.setHeader(name, value);
    }

    @Override
    public void addHeader(String name, String value) {
        validateCrlf(name, value);
        super.addHeader(name, value);
    }

    @Override
    public void addCookie(Cookie cookie) {
        if (cookie != null) {
            validateCrlf(SET_COOKIE_HEADER, cookie.getName());
            validateCrlf(SET_COOKIE_HEADER, cookie.getValue());
            validateCrlf(SET_COOKIE_HEADER, cookie.getPath());
            validateCrlf(SET_COOKIE_HEADER, cookie.getDomain());
            validateCrlf(SET_COOKIE_HEADER, cookie.getComment());
        }
        super.addCookie(cookie);
    }

    void validateCrlf(String name, String value) {
        if (hasCrlf(name) || hasCrlf(value)) {
            throw new IllegalArgumentException(
                    "Invalid characters (CR/LF) in header " + name);
        }
    }

    private boolean hasCrlf(String value) {
        return value != null && CR_OR_LF.matcher(value).find();
    }
}

ステップ3:RejectedExceptionを抑制するカスタムフィルターを作成する

package com.biz.brains.project.security.filter;

import java.io.IOException;
import java.util.Objects;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.http.HttpHeaders;
import org.springframework.security.web.firewall.RequestRejectedException;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.GenericFilterBean;

import lombok.extern.slf4j.Slf4j;

@Component
@Slf4j
@Order(Ordered.HIGHEST_PRECEDENCE)
public class RequestRejectedExceptionFilter extends GenericFilterBean {

        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
            try {
                RequestRejectedException requestRejectedException=(RequestRejectedException) servletRequest.getAttribute("isNormalized");
                if(Objects.nonNull(requestRejectedException)) {
                    throw requestRejectedException;
                }else {
                    filterChain.doFilter(servletRequest, servletResponse);
                }
            } catch (RequestRejectedException requestRejectedException) {
                HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
                HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
                log
                    .error(
                            "request_rejected: remote={}, user_agent={}, request_url={}",
                            httpServletRequest.getRemoteHost(),  
                            httpServletRequest.getHeader(HttpHeaders.USER_AGENT),
                            httpServletRequest.getRequestURL(), 
                            requestRejectedException
                    );

                httpServletResponse.sendError(HttpServletResponse.SC_NOT_FOUND);
            }
        }
}

ステップ4:セキュリティ構成のスプリングフィルターチェーンにカスタムフィルターを追加します

@Override
protected void configure(HttpSecurity http) throws Exception {
     http.addFilterBefore(new RequestRejectedExceptionFilter(),
             ChannelProcessingFilter.class);
}

上記の修正を使用すると、RequestRejectedExceptionエラー404ページで処理できます。

ベンカトラマンムトゥクリシュナン
ソース
ありがとうございました。これは、フロントエンドアプリがすべてアップグレードされるまで、Javaマイクロサービスをアップグレードできるようにするために一時的に使用したアプローチです。'//'が正規化されていると見なされるようにするために、手順3と4は必要ありませんでした。isNormalizedでダブルスラッシュをチェックする条件をコメントアウトし、代わりにCustomStrictHttpFirewallクラスを使用するようにBeanを構成しました。
gtaborga
configを介したより簡単な回避策はありますか?しかし、ファイアウォールをオフにせずに..
Prathameshdhanawade19年
0

私の場合、この問題はPostmanでログインしていないことが原因であるため、Chromeセッションのヘッダーから取得したセッションCookieを使用して別のタブで接続を開きました。

アレックスD
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.