Spring Boot项目Shiro1.7.1版本默认密钥的漏洞

已于 2022-09-21 18:45:23 修改
阅读量3k 收藏 4
点赞数
分类专栏: Java
于 2022-09-06 09:30:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/UD_World/article/details/126718066
版权

Shiro 安全框架 密钥管理 AES加密 动态密钥
关键词由CSDN通过智能技术生成

1.Shiro1.7.1默认密钥


public CookieRememberMeManager rememberMeManager(){
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));
        return cookieRememberMeManager;
    }

2.重新生成新的密钥

  
  public static void main(String[] args) throws Exception {
        
        KeyGenerator keygen = KeyGenerator.getInstance("AES");
        SecretKey deskey = keygen.generateKey();
        System.out.println(Base64.encodeToString(deskey.getEncoded()));

    }

用新生成的密钥替换原来的密钥即可。

3.或者直接换成动态密钥


 public CookieRememberMeManager rememberMeManager()
    {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey(Base64.decode(generateNewKey()));
        return cookieRememberMeManager;
    }

    public static String generateNewKey() {
        try {
            KeyGenerator keygen = KeyGenerator.getInstance("AES");
            SecretKey deskey = keygen.generateKey();
            return Base64.encodeToString(deskey.getEncoded());
        }catch (Exception e){
            e.printStackTrace();
            return "7Iqlf6Ql/A4h7Umjw+254w==";
        }
    }

没有什么是不变的
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro反序列化漏洞利用笔记
文公子的博客
12-11 636
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache S
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1157
使用shiro默认密钥的隐患
聊聊Shiro的反序列化漏洞,以及内存马技术!
最新发布
A_991128a的博客
05-14 1054
0x01 Filter工作原理它与Servlet类似,也是由Servlet 容器进行调用和执行的,一般用于进行请求过滤,如权限控制编码/敏感过滤等等。当在 web.xml 注册了一个Filter来对某个Servlet程序进行拦截处理时,它可以决定是否将请求继续传递给Servlet程序,以及对请求和响应消息是否进行预修改。0x02 Filter 链在一个 Web 应用程序中可以注册多个Filter程序,每个 Filter 程序都可以对一个或一组Servlet程序进行拦截。
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
Shiro反序列化漏洞(CVE-2016-4437)+docker靶场+工具利用
weixin_46411728的博客
07-16 2191
shiro_attack_2.2
shiro用户加密默认方式_Shiro安全框架(配置ini文件方式)
weixin_39966053的博客
12-22 312
1.什么是shiroApache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和 会话管理等功能。2.从外部来看Shiro,即从应用程序角度来观察如何使用Shiro完成工作。①Subject 主体 也可以看做一个用户 与当前应用交互的应用可以看做一个用户,所有的subject都绑定到securityManager,与subject的交互都会委托给securityManager...
Shiro:Springboot集成shiro进行认证授权、加密处理
m0_63180675的博客
08-02 671
这是我学了两周整理出来的项目笔记,然后厘米有shiro的认证、授权、md5+salt+hash散列 进行加密处理、集成redis缓存
shiro1.7.1全包修补漏洞.rar
07-18
这个"shiro1.7.1全包修补漏洞.rar"文件包含了针对Apache Shiro 1.7.1版本的一些安全修复和更新,旨在解决可能存在的安全漏洞。 1. **Shiro-aspectj-1.7.1.jar**: 这个JAR文件是Shiro的AspectJ支持模块,它允许...
详解Spring Boot 集成Shiro和CAS
08-30
要使用 Shiro,需要在 pom.xml 文件中添加 Shiro 的依赖项,然后在 Spring Boot 项目中配置 ShiroShiro 的配置主要包括两个部分:一个是 Shiro 的配置文件,另一个是 Shiro 的 Filter 配置。Shiro 的 Filter 配置...
shiro1.7.1.zip
04-12
标题中的"shiro1.7.1.zip"表明这是一个包含Apache Shiro 1.7.1版本所有核心模块的压缩包,用于安全升级或新项目部署。 在描述中提到的"最新版shiro1.7.1.jar包,安全升级专用",暗示这个版本可能是对之前版本安全...
spring boot集成shiro详细教程(小结)
08-28
Spring Boot 集成 Shiro 是一个常见的需求,特别是在项目中需要使用身份验证和授权机制时。下面将详细介绍 Spring Boot 集成 Shiro 的过程,并阐述相关知识点。 知识点一:Shiro 简介 Shiro 是一个开源的安全框架...
Shiro 1.7.0所需jar包
01-18
Shiro开发所需1.7.0 Jar包 一次性下载使用
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
在本文中,我们将深入探讨如何在Spring Boot应用中集成Apache Shiro框架,以实现动态加载权限的功能。Shiro是一个强大的安全框架,可以帮助我们处理身份验证(登录)、授权(权限管理)以及会话管理等问题。 首先,...
shiro-550反序列化漏洞
lightsec
04-24 970
前言: shiro反序列化原因是shiro的一个机制为了让浏览器或服务器重启后不丢失用户的登陆状态,会将用户信息保存到 rememberMe字段中 然后发送到服务端,服务端再对它进行base64解密,aes解密,再进行反序列化,由于在 1.2.4 这个版本shiro的key是固定的,所以可以通过构造一段恶意类经过aes加密再base64加密然后放到 rememberMe 伪造cookie信息,来让服务端加载,进而触发反序列化漏洞 环境搭建: 从github下载代码到本地 下载shiro-r
shiro用户加密默认方式_SpringBoot Shiro配置自定义密码加密器代码实例
weixin_39639698的博客
12-22 502
shiro主要有三大功能模块:1. Subject:主体,一般指用户。2. SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet)3. Realms:用于进行权限信息的验证,一般需要自己实现。细分功能1. Authentication:身份认证/登录(账号密码验证)。2. Authorizatio...
shiro用户加密默认方式_Shiro 基本操作
weixin_39609822的博客
12-22 243
Shiro介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。毕竟官网有十分钟入门,足矣可见该框架的上手难度。Shiro 功能介绍gongneng.png从上图可看出来,主要功能有4个,以及支持一些其他特性。主要功能Authentic...
shiro key文件
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-01 1293
​下面结合实战以及shiro的CookieRememberMeManaer的调用过程,浅谈获取shiro key文件的几种方式。 shiro key文件的获取方式:1结合Dnslog与URLDNS;2利用时间延迟或报错;3结合CookieRememberMeManaer 1结合Dnslog与URLDNS 在进行漏洞探测的时候,一般会使用ysoserial-URLDNS-gadget结合dnslog进检测,其受JDK版本和相关的安全策略影响,除非存在网络限制DNS不能出网。 通过判断dnslog是否
Shiro教程(六)Shiro整体的配置文件
baidu_37366055的博客
03-02 1370
因为 Shrio 和整体项目结合的话,细节问题还是比较多。我要侧重讲一些地方。下面我先把我整个项目Shiro 配置文件先贴出来,如果你需要哪个类的实现方式,你可以针对性的查找,或者问我。 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org...
shiro升级到shiro-1.7.1
zhuimenghou的博客
07-20 2945
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
"Spring Boot整合Shiro搭建权限管理系统教学指南
在这一部分,学习者将学会如何通过添加Shiro依赖和编写相应的配置类,将Shiro整合进Spring Boot项目。涉及到的内容包括自定义Realm、配置安全策略以及编写相关的Controller进行登录和权限认证的处理。 三、权限管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值