shiro1.2.4升级报错 org/owasp/encoder/Encode或者是org.owasp.encoder.Encode

最新推荐文章于 2024-05-17 09:32:23 发布
最新推荐文章于 2024-05-17 09:32:23 发布
阅读量2.5k 收藏
点赞数
分类专栏: java sping 文章标签: java shiro 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/klo0704/article/details/109732996
版权

ApacheShiro反序列化远程代码执行 漏洞处理

Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookierememberMe字段内容分别进行序列化、AES加密、Base64编码操作。但是,AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能漏洞描述拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。

 

有两种修改方式。

第一种:修改shiro配置文件,修改内容为

1

2

3

4

5

6

7

8

9

10

<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">

        <constructor-arg value="rememberMe"/>

        <property name="httpOnly" value="true"/>

        <property name="maxAge" value="31536000"/><!-- 365天 -->

    </bean>

    <!-- rememberMe管理器 -->

    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">

        <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('qQFtSnnj/sx7vu51ixAyEQ==')}"/>

        <property name="cookie" ref="rememberMeCookie"/>

    </bean>

qQFtSnnj/sx7vu51ixAyEQ== 这个是生成AES密钥
生成方式参照:https://www.cnblogs.com/pxblog/p/12485832.html

第二种;替换项目中shiro jar包,替换成1.2.6版本

下载地址:https://yvioo.lanzous.com/b00nueaib

 

肖秋峰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
为了修复这个问题,Shiro1.2.4之后的版本中引入了改进,特别是建议升级到1.5.2或更高版本,因为1.5.2之前的版本还存在其他权限绕过漏洞。及时更新到最新版本可以有效防止这类攻击,提高系统的安全性。 针对此漏洞...
shiro连接redis集群 根据org.crazycake.shiro包改造源码
02-06
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。在分布式系统中,尤其是在使用Redis作为缓存或session存储时,Shiro的原生支持可能无法直接与Redis集群配合工作。这里提到的...
shiro java.lang.NoClassDefFoundError orgowaspencoderEncode
m0_67401153的博客
04-07 1702
shiro1.2.1版本升级到1.5.3版本,需要引入encoder,否则启动时会提示 java.lang.NoClassDefFoundError: org/owasp/encoder/Encode <dependency> <groupId>org.owasp.encoder</groupId> <artifactId>encoder</artifactId> <version>1.2.1&lt
java.lang.NoClassDefFoundError: org/owasp/encoder/Encode
lxyoucan的博客
07-22 3203
一个老的spring boot项目中使用到了shiro,存在安全漏洞,由于源码丢失,只好采用解压jar升级里面shiro的jar来解决了。但是升级以后遇到报错如下。 报错信息 Caused by: java.lang.NoClassDefFoundError: org/owasp/encoder/Encode at org.apache.shiro.web.filter.PathMatchingFilter.pathsMatch(PathMatchingFilter.java:134) ~[shiro-we
Java代码漏洞检测-常见漏洞与修复建议
最新发布
baimao__Ch的博客
05-17 1209
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
shiro升级至1.7.1后报错shiro java.lang.NoClassDefFoundError: org/owasp/encoder/Encode,已解决
dandan201212的博客
06-04 949
shiro java.lang.NoClassDefFoundError: org/owasp/encoder/Encode 升级后需引入encoder <dependency> <groupId>org.owasp.encoder</groupId> <artifactId>encoder</artifactId> <version>1.2.1</ver
shiro升级shiro-1.7.1
zhuimenghou的博客
07-20 2959
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
shiro java.lang.NoClassDefFoundError: org/owasp/encoder/Encode
Fisher3652的博客
08-18 6621
shiro1.2.1版本升级到1.5.3版本,需要引入encoder,否则启动时会提示 java.lang.NoClassDefFoundError: org/owasp/encoder/Encode <dependency> <groupId>org.owasp.encoder</groupId> <artifactId>encoder</artifactId> <version>1.2.1&lt
XSS 攻击与防御 | OWASP 提供XSS防御方案
sunpx3的博客
08-10 5958
      作为搞WEB的JAVA程序员,前台很容易碰到xss类的漏洞,但又不具备专业的安全知识,工作中项目紧的时候又没时间去研究那东西,所以就需要一个拿来就能用的,安全性合格的xss防御方法。      很幸运OWASP就提供了一个供java开发使用的xss防御方案。OWASP Java Encoder Project      OWASP的大名相信搞安全的同学都熟的不能再熟了,OWASP是一...
shiro.freemarker.ShiroTags已打包
07-17
例如,你可以使用 `<@shiro.hasPermission 'admin'>` 标签来检查当前用户是否拥有 "admin" 权限,如果拥有,标签内部的内容将被渲染到页面上;如果没有,这部分内容则会被忽略。这极大地简化了视图层的代码,并提高...
基于springboot+mybatis+shiro+vue的仓库管理系统源码+学习说明.zip
01-15
基于springboot+mybatis+shiro+vue的仓库管理系统源码+学习说明.zip基于springboot+mybatis+shiro+vue的仓库管理系统源码+学习说明.zip基于springboot+mybatis+shiro+vue的仓库管理系统源码+学习说明.zip基于...
owasp-java-encoder:OWASP Java编码器是Java 1.5+的易于使用的嵌入式高性能编码器类,没有依赖关系,而且负担很轻。 该项目将帮助Java Web开发人员防御跨站点脚本!
05-23
OWASP Java编码器项目 上下文输出编码是停止跨站点脚本编写所必需的计算机编程技术。 该项目是Java 1.5+易于使用的嵌入式高性能编码器类,几乎没有负担。 开始使用OWASP Java编码器 您可以从下载JAR。 JSP标签和EL函数可在encoder-jsp中使用,也可以在。 这些罐子也可以在Maven中使用: < dependency> < groupId>org.owasp.encoder</ groupId> < artifactId>encoder</ artifactId> < version>1.2.3</ version> </ dependency> < dependency> < groupId>org.owasp.encoder</ groupId> < artifactId>encod
shiro框架Demo演示
05-20
为了在csdn上说明白shiro框架特意写的demo
shiro-all jar
04-16
org.apache.shiro org.apache.shiro.aop org.apache.shiro.aspectj org.apache.shiro.authc ......
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
shiro1.3升级shiro-all-1.6.0报错 org/owasp/encoder/Encode或者是org.owasp.encoder.Encode
七亿少女的梦
09-14 3399
是因为缺少encoder这个jar包 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 这个地址直接下载,放入项目中,项目成功启动 最后附上:https://mvnrepository.com/artifact/org.apache.shiro/shiro-core shiro的最新包下载地址 ...
前端安全跨站脚本攻击
sunshine的博客
08-11 880
- 攻击者将恶意代码提交到目标网站的数据库中。 - 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。 - 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。 - 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。...
【分布式任务调度】(二)XXL-JOB执行器配置及定时任务的创建
热门推荐
积木成林,聚沙成塔
10-22 1万+
在上一篇《XXL-JOB调度中心集群部署配置》中,我们已经得到了一个调度中心的集群,接下来只需要了解到如何配置调度器及创建定时任务就可以了。配置并启动调度器创建并执行定时任务本篇讲解了在有了调度中心的基础上,如何配置执行器从而达到在服务中使用定时任务的过程。在SpringBoot项目中引入xxl-core包。编辑properties文件,并解析到字段中,然后使用这个配置初始化执行器。编写定时任务方法,并使用@XxlJob注解,并配置任务名称。
guns shiro 升级
weixin_46008168的博客
11-12 833
背景 之前使用guns做的项目中,由于使用的是shiro,并且使用的是它默认的AES加密公共密钥,所以,存在安全性问题。 解决 首先,需要先对shiro的版本进行升级,如果之前使用的是shiro 1.2.4之前的版本,那么会存在反序列化安全性问题。 在1.2.4版本之前,shiro问题如下。 当浏览器发送remember Me Cookie的请求时,服务端的流程如下。 读取cookie -> base64解码 -> AES解密 -> 反序列化。 在1.2.4版本之前,这个AES加密的密钥是
org/apache/shiro/realm/AuthorizingRealm.class什么版本才有这个
05-28
`org/apache/shiro/realm/AuthorizingRealm` 类是 Apache Shiro 框架中的一个类,从 Shiro 1.1.0 版本开始引入,用于实现授权相关的逻辑。如果你使用的是 Shiro 1.1.0 版本或以上的版本,就应该可以找到该类。如果你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值