210104-技术分享-漏洞复现-shiro
2021年1月4日技术分享-漏洞复现-shiroby:leesin(ps:内部使用,未经授权不得外发)1. shiro反序列号漏洞1.1 漏洞形成原因Apache Shiro(安全框架不安全,噗哈哈哈)框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。在服务端接收cookie值时,按照如下步骤来解析处理
复制链接