Shiro使用官方方法生成密钥

最新推荐文章于 2024-04-09 15:03:13 发布
最新推荐文章于 2024-04-09 15:03:13 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: java springmvc
原文链接:https://www.longkui.site/program/development/shiro/3869/
版权

原文链接:这里,这里!

0.前言
平台漏洞扫描,扫描到一堆安全问题,其中有个关于Shiro的。主要是说如果项目中shiro key为默认密钥或者网络公开密钥,就可以轻易的导致远程代码执行。

本文框架SSM+shiro。

1.解决思路
(1)升级Shiro版本,为1.7.0以上

(2)自定义一个base 64 AES密钥

(3)使用官方生成的方法提供密钥

本文选择的是第三种办法:

我们在shrio新建一个类。参照下面的代码进行添加:

import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import java.security.NoSuchAlgorithmException;
public class GenerateCipherKey {
/** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int) * @return */
public static byte[] generateNewKey() {
KeyGenerator kg;
try {
kg = KeyGenerator.getInstance(“AES”);
} catch (NoSuchAlgorithmException e) {
String msg=“this is required to function!”;
throw new IllegalStateException(msg, e);
}
kg.init(128);
SecretKey key = kg.generateKey();
byte[] encoded = key.getEncoded();
return encoded;
}
}
然后在spring-shrio.xml找到remembermeManager。添加如下代码:

其中,xxx表示你项目的地址,也就是你上面定义类的地址。
城南蝈蝈
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro官方文档(中文)
06-16
shiro官方文档(中文)
Apache-Shiro反序列化1
08-03
2. 如果在使用过程中配置了默认的 AES 密钥,建议生成随机 AES 密钥使用。 3. 使用安全的反序列化机制,避免使用 Java 的默认反序列化机制。 五、结论 Apache Shiro 的反序列化漏洞是一个严重的安全漏洞,攻击者...
5.传统Spring中使用Shiro(XML)
相互学习 共同进步
06-28 907
传统Spring使用Shiro(XML) 1.导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro&
apache shiro 反序列化漏洞解决方案_apache shiro反序列化解决方法(1)
最新发布
2401_84159966的博客
04-09 863
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Shiro 生成秘钥
m0_67401746的博客
04-22 438
Shiro 生成秘钥【官方】 import org.apache.shiro.codec.Base64; import javax.crypto.KeyGenerator; import javax.crypto.SecretKey; import java.security.NoSuchAlgorithmException; public class Test { public static void main(String[] args) { KeyGenerator k
动态生成shiro秘钥
m0_61560589的博客
10-11 455
Shiro生成密钥
springboot读取shirokey命令执行
网络安全。
03-31 2018
0x1 简介 当springboot遇到shiro,一切变得合理了起来。 0x2 利用 存在springboot env页面 https://xxx/api/actuator/env 但未发现明文shirokey,如图这种的。 使用visualvm工具读取shiro字节类型key。 下载:https://visualvm.github.io/download.html(工具在/bin目录下) 导入heapdump,在过滤文件中搜索如下条件。 org.apache.shiro.web.mgt.Cooki
在Spring中配置Shiro
Kaybee - 练级之路
09-29 1293
适时的总结和做笔记真的很重要啊,不然过一段时间不用就忘了 - -||| 之前做过一个权限管理的功能,用到了shiro,也是现学现用,总结一下在spring中shiro如何配置。 总的来说配置有这几点: 在 web.xml 中配置 Shiro 的 Filter 在 Spring 的配置文件中配置 Shiro : 配置自定义 Realm:实现自定义认证和授权 配置 ...
Shiro反序列化流量分析.pdf
05-10
手工解密Shiro反序列化攻击流量的关键在于正确地还原AES解密流程,包括理解密文的结构,提取IV和密钥,然后使用对应的加密库进行解密。CyberChef等在线工具可以帮助进行这个过程。 检测Shiro反序列化漏洞的工具,如...
lcg0124-bootdo-master.zip_bootDo_shiro springboot_springboot_thy
09-23
项目介绍 面向学习型的开源框架,简洁高效,减少过渡封装,展现技术...使用官方推荐的thymeleaf做为模板引擎,shiro作为安全框架,主流技术,“一网打尽” 基于注解的sql写法,零XML,极简配置,一键前后台代码生成
shiro550反序列学习.doc
07-08
然而,Shiro 550 漏洞的出现是因为加密所使用的 AES 密钥是硬编码在源代码中的,攻击者一旦知道了这个密钥,就可以构造恶意的序列化数据,导致反序列化过程执行任意代码。 ### 漏洞原因 1. **AES 密钥硬编码**:...
第03篇:Shiro 反序列化漏洞利用汇总1
08-03
攻击者可以通过各种方法,如Shiro_exploit工具,来获取密钥。然后,攻击者可以构建序列化payload,如反弹shell或者写入文件到服务器。 2. Shiro Padding Oracle Attack(Shiro-721) 这种攻击涉及到AES加密的...
Shiro术语
芸复山人
06-30 397
Authentication 身份验证是验证Subject身份的过程--实质上是证明某些人是否真的是他们所说的他们是谁。当认证尝试成功后,应用程序能够相信该Subject被保证是其所期望的。 Authorization 授权,又称为访问控制,是决定一个user/Subject是否被允许做某事的过程。它通常是通过检查和解释Subject的角色和权限(见下文),然后允许或拒绝到一个请
JAVA代码审计之Shiro反序列化漏洞分析
道阻且长,行则将至。
07-24 2268
文章目录前言Java反序列化源码审计分析IDEA 部署环境序列化过程分析 前言 在前面的一篇文章:Apache Shiro Java反序列化漏洞复现 曾介绍了 CVE-2016-4437 漏洞的复现过程和利用方式,为了不再当个“脚本小子”工具人…本文将记录学习下从源码审计的角度分析 CVE-2016-4437 漏洞的原理。 Java反序列化 同样的在前面一篇博文:Java-序列化与反序列化 已经讲述了 Java 序列化和反序列化的概念,此处简单再描述下。 把对象转换为字节序列的过程称为对象的序列化;把字节序
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
学习Spring Boot:(十四)spring-shiro的密码加密
追光者的博客
05-06 6095
前言 前面配置了怎么使用 shiro ,这次研究下怎么使用spring shiro的密码加密,并且需要在新增、更新用户的时候,实现生成盐,加密后的密码进行入库操作。 正文 配置凭证匹配器 @Bean public HashedCredentialsMatcher hashedCredentialsMatcher() { HashedCredent...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5109
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
SpringBoot与Shiro整合(认证、授权和密码加密)
m0_54850825的博客
08-30 222
/登录状态下才可以访问main页面,manage权限可访问manage页面,admin角色可访问admin页面。//未登录状态下访问将跳转至login页面。//无授限状态下访问将请求unauthor。
shiro/shiro/default-key
08-29
您好!对于您提到的 `shiro/shiro/default-key`,它是 Apache Shiro 框架中用于加密和解密的默认密钥。Apache Shiro 是一个强大且易于使用的 Java 安全框架,用于身份验证、授权、密码学和会话管理等方面的应用程序安全。 默认密钥 `shiro/shiro/default-key` 可以在 Shiro 配置文件中作为加密算法的密钥使用,确保敏感数据的安全性。通过自定义密钥,可以提高系统的安全性,防止潜在的攻击。 请注意,为了确保最佳的安全性,建议您不要使用默认密钥,而是使用自己生成的随机密钥来替代。这样可以更好地保护您的应用程序和数据安全。 如果您有任何其他问题或需要进一步的帮助,请随时告诉我!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值