Basic authentication bypass

[Redpeppersir]

BasicFilter 中的 match函数存在绕过的风险 可以在路径中添加 /;/ 格式绕过Basic认证访问到敏感的接口
开启Basic 认证

使用正常方式访问接口
/v2/api-docs?group=%E6%B5%8B%E8%AF%95%E5%88%86%E7%BB%84

通过添加 ; 在不进行认证的情况下绕过接口 /v2/;/api-docs?group=测试分组

match函数比较规避存在缺陷

建议在获取uri的时候将”;“去除

[xiaoymin]

最新版本吗？

[Redpeppersir]

查看的时候是最新版的 复现的时候用的demo
最新版的应该也是可以绕过的

[Redpeppersir]

最新版本吗？

查看的时候是最新版的 复现的时候用的demo
最新版的应该也是可以绕过的

[xiaoymin]

这个我考虑就是放开一部分match的规则(支持正则)，给开发者自己设置，不然总是会存在漏掉的
例如这样：

knife4j:
  # 开启增强配置 
  enable: true
　# 开启Swagger的Basic认证功能,默认是false
  basic:
      enable: true
      # Basic认证用户名
      username: test
      # Basic认证密码
      password: 123
      # 增加include属性，开发者自己配置，支持正则
      include:
        - /api/*
        - /v2/*