shiro反序列化漏洞解决方案总结

最新推荐文章于 2024-06-29 10:31:12 发布
最新推荐文章于 2024-06-29 10:31:12 发布
阅读量2.3k 收藏
点赞数
分类专栏: java 编程 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huawangxin/article/details/120781410
版权

Shiro 反序列化漏洞 版本升级 安全密钥 CookieRememberMeManager
关键词由CSDN通过智能技术生成
编程 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
java
39 篇文章 1 订阅
订阅专栏

shiro反序列化漏洞解决方案总结

1.确定自己使用的shiro版本要高于1.2.4;
2.在代码中全局搜索 "setCipherKey(Base64.decode(" 关键字,或者"setCipherKey"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。

示例2中:xxxx是网上公开的秘钥,可以修改为自己项目专属的秘钥。
<!-- rememberMe管理器 -->
    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <!-- rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)-->
        <property name="cipherKey"
                  value="#{T(org.apache.shiro.codec.Base64).decode('xxxxxx')}"/>
        <property name="cookie" ref="rememberMeCookie"/>
    </bean>

huawangxin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RuoYi v4.2 Shiro反序列化漏洞
fansenliangren的博客
12-02 3011
反序列化漏洞是基于序列化和反序列化的操作,在反序列化——unserialize()时存在用户可控参数,而反序列化会自动调用一些魔术方法,如果魔术方法内存在一些敏感操作例如eval()函数,而且参数是通过反序列化产生的,那么用户就可以通过改变参数来执行敏感操作,这就是反序列化漏洞
shiro反序列化漏洞
wo41ge的博客
12-29 517
今天 把之前 落下来的 捡起来 师傅轻捶 好 要上了哦!! 漏洞发现 1.Shiro rememberMe反序列化漏洞Shiro-550) 0x01漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。 在服务端对rememberMe的cookie值 的流程是这样的 RememberMe Cookie值->base64解密->AES解密->反序列化 这就导致了反序列化RCE漏洞 我们 构造的payloa
MrWQ#vulnerability-paper#若依 CMS 0day 任意文件读取 or 未授权访问1
07-25
文章来源:Khan 安全攻防实验室若依管理系统后台任意文件读取若依管理系统未授权访问。
shiro反序列化漏洞总结
最新发布
2302_80462925的博客
06-29 1560
shiro反序列化漏洞总结
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721)
小宇的web博客
02-05 7043
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721) Shiro简介 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 Shiro-550反序列漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对reme
若依低版本漏洞shiro反序列化解决方式
weixin_43267639的博客
12-14 2130
若依低版本中shiro可能会有反序列化的问题,因为是固定密钥的方式导致的。 解决方式如下: 1、升级shiro至最新版本 2、保持shiro版本不变
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
Gblfy_Blog
12-06 4273
文章目录一、分析定位1. 漏洞描述2. 项目引发漏洞简述二、解决方案2.1. 若依系统2.2. Gus系统 一、分析定位 1. 漏洞描述 目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira/browse/SHIRO-550 https://shiro.apache.org/download.html 2. 项目引发漏洞简述 若依/Guns管理系统使用了Apache ShiroShiro 提供了记住我(RememberM
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
shiro反序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro反序列化漏洞。`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。...
ruoyi低版本shiro反序列化解决
u013008898的博客
02-18 600
ruoyi低版本shiro反序列化解决
shiro反序列化漏洞学习(工具+原理+复现)
qq_49849300的博客
03-10 1万+
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成反序列化漏洞利用。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
shiro放行_浅谈Apache 安全框架Shiro(十三)——RememberMe
weixin_39808953的博客
12-08 141
RememberMeShiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下:首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的 Cookie 写到客户端并保存下来;关闭浏览器再重新打开;会发现浏览器还是记住你的;访问一般的网页服...
记录shiro的配置
书香代码
09-12 1913
//springShiro.xml <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/
ShiroJava原生反序列化漏洞
公众号shadow sock7
07-28 1万+
参考: http://www.lmxspace.com/2019/10/17/Shiro-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E8%AE%B0%E5%BD%95/ https://github.com/jas502n/Shiro_Xray 环境搭建 git clone https://github.com/apache/shiro.git # wget https://codeload.github.com/apache/shiro/zip/shiro-root-1
org.apache.shiro.crypto.CryptoException: Unable to execute 'doFinal' with cipher instance
热门推荐
闪电人
06-03 2万+
从两个红箭头 可以猜测出应该是rememberMe管理器的配置问题 ,而且异常部分也是rememberMe管理器里面配置的  配置如下:   红箭头处的值有格式要求的 官文如下:      你要么用base64生成字符串然后在decode,要么直接以0x开头的16进制窜.  网上找到另个方法是在realm配置一下属性值 如下:   为啥好用呢 作用如下说明:   Sets th
shiro反序列化漏洞工具
05-23
Shiro 反序列化漏洞指的是 Apache Shiro 框架在处理用户输入的 Session 数据时没有正确地对反序列化进行限制,导致攻击者可以构造恶意的序列化数据来执行任意代码。攻击者可以利用这个漏洞来获取系统权限、窃取敏感信息等。 针对 Shiro 反序列化漏洞,已经有一些工具可以用于检测和利用该漏洞,例如: 1. ShiroExploit:Shiro 反序列化漏洞利用工具,可用于远程执行命令、反弹 shell 等。 2. ShiroScan:Shiro 反序列化漏洞扫描工具,可以扫描目标主机是否存在 Shiro 反序列化漏洞,并输出扫描结果。 3. Shiro-550-Payloads:Shiro 反序列化漏洞 Payload,包含多种恶意代码,可供测试和漏洞利用使用。 需要注意的是,使用这些工具需要遵守法律法规,仅限于进行合法授权的安全测试和研究。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值