Spring Apache Shiro 默认密钥致命令执行漏洞及解决方案

最新推荐文章于 2024-06-06 09:59:36 发布
最新推荐文章于 2024-06-06 09:59:36 发布
阅读量4.7k 收藏 6
点赞数 2
文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liqiang_8257/article/details/115514382
版权

最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同

漏洞检测工具
下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip
如图:

OK,检测下漏洞:


这样,我们看到了,检测到了使用默认的shiro密钥


解决方案:
每个项目的情况都可能不一样,所以有不同的解决办法。
现象:
使用的是springmvc,shiro1.2.4,spring 4.2.5

shiro默认的安全管理器使用了默认的shiro密钥,即使项目中开发者不配置,那么shiro也会加载。
既然开发人员没有配置,那么我们就配置下。

创建一个密钥生成的类


配置中使用


需要注意
在阿里云给的建议中,需要升级shiro版本1.7,但是此版本需要升级spring,这块可能会出现修改其他一些功能和代码问题。
所以,在此,我们不升级shiro,还是用老版本,只是增加密钥的管理方式,不再用默认密钥即可

修改后检测


至此,问题解决,希望对看见的开发者有帮助。

liqiang_8257
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5256
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
shiro反序列化漏洞学习(工具+原理+复现)
qq_49849300的博客
03-10 1万+
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成反序列化漏洞利用。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。"方法,Base64.decode()中的字符串就是shiro密钥,要确保该密钥的安全性,千万不要使用公开的密钥
探索安全之门 —— 深入解析`shiro_key`项目
最新发布
gitblog_00021的博客
06-06 465
探索安全之门 —— 深入解析shiro_key项目 项目地址:https://gitcode.com/yanm1e/shiro_key 项目介绍 在信息安全的浩瀚宇宙中,密码如星辰般闪烁,保护着我们的数字世界不被侵犯。shiro_key是一个专注于收集与研究Apache Shiro密钥的开源项目。拥有超过一千个示例密钥,它不仅为开发者提供了宝贵的资源库,更是对于理解Shiro加密机制、加强应用安全...
spring-boot集成shiro的步骤及代码解析
xiguabobo2的博客
09-15 1161
安全框架 shiro a. 功能 ⅰ. authc 认证 验证用户是否为合法用户 ⅱ. authz 授权 验证某个用户是否有权限访问某个资源 ⅲ. session management 会话管理 管理特定用户的会话,在普通java项目中模拟httpsession的效果 ⅳ. Cryptography 加解密 使用加密算法确保数据安全,同时仍然易于使用。 ⅴ. 支持web ⅵ. 支持缓存 ⅶ. 并发支持 ⅷ. 支持测试
springboot shiro默认密钥致命漏洞 修复
m0_67392931的博客
04-08 932
第三方给系统做检测时发现shiro默认密钥致命漏洞,提醒要修改,查了资料,已经修复,有需要交流,请联系Q 1766168900 原因在这里 更新配置文件后,正常
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
Apache Shiro 默认密钥命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 2915
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
Spring Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)问题解决
北巷东东的专栏
11-19 3602
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同,特写此篇博客记录。 先说下,我们老项目用的shiro版本号是1.2.4,对应spring版本为4.x 漏洞 漏洞详细报告 OK,我们了解到报告的具体内容了,那接下来,我们分析下怎么修复 漏洞检测工具 下载地址和使用说明: https://github.com/wyzxxz/shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 下载下来是这样
Apache Shiro 默认密钥命令执行漏洞
Loveme_CN的博客
11-18 5363
Apache Shiro 默认密钥命令执行漏洞1、 漏洞描述:2、漏洞特征:3、修复建议:4、修复过程JAR包升级修复RemberMe功能 今天登录服务器上面提示有漏洞提示:Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)【远程扫描】,接下来吾爱编程为大家介绍一下Apache Shiro 默认密钥命令执行漏洞的修复方法,有需要的小伙伴可以参考一下 1、 漏洞描述: Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、
Spring Boot项目Shiro1.7.1版本默认密钥漏洞
UDWORLD的博客
09-06 3100
Shiro1.7.1版本默认密钥漏洞
shiro1.7.1全包修补漏洞.rar
07-18
这个"shiro1.7.1全包修补漏洞.rar"文件包含了针对Apache Shiro 1.7.1版本的一些安全修复和更新,旨在解决可能存在的安全漏洞。 1. **Shiro-aspectj-1.7.1.jar**: 这个JAR文件是Shiro的AspectJ支持模块,它允许...
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
Apache Shiro 使用手册(五) Shiro 配置说明
01-09
Apache Shiro的配置主要分为四部分: 对象和属性的定义与配置URL的过滤器配置静态用户配置静态角色配置其中,由于用户、角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置。 Apache Shiro的大多数组件是基于POJO的,因此我们可以使用POJO兼容的任何配置机制进行配置,例如:Java代码、Sping XML、YAML、JSON、ini文件等等。下面,以Spring XML的配置方式为例,并且对其中的一些配置参数进行一些简单说明。 Shiro对象的配置: 主要是对Shiro各个组件的实现进行定义配置,主要组件在前文已做过简单介绍,这里不再一一说明。
spring-shiro-webapp:使用SpringApache Shiro采样Stormpath Webapp
05-10
获取您的API密钥并将文件放置在安全的位置。 请参阅[ 如何获取API密钥)。 注册一个应用程序。 请参阅[ 如何注册应用程序) 在新目录中创建组(角色)以将其分配给新帐户。 在该项目中使用的角色是:管理员和用户...
Spring boot shiro
12-25
Spring Boot 和 Apache Shiro 是两个在Java开发中广泛使用的框架。Spring Boot 提供了快速构建和配置Spring应用的便利性,而Shiro则是一个强大且易用的安全管理框架,专注于身份验证、授权、会话管理和安全性。 **...
[ vulhub漏洞复现篇 ] Apache Shiro 认证绕过漏洞(CVE-2020-1957)
qq_51577576的博客
08-17 1054
👨‍🎓 博主介绍:大家好,我是,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限,欢迎各位大佬指点,相互学习进步!...
Apache Shiro _= 1.2.4 默认密钥导致命令执行漏洞(CVE-2016-4437)
qq_69432323的博客
07-23 349
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1201
使用shiro默认密钥的隐患
Shiro反序列化漏洞利用笔记
文公子的博客
12-11 657
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache S
Apache Shiro加解密spring配置文件value 示例
05-30
好的,下面是使用 Apache Shiro 加解密 Spring Boot 配置文件中的敏感信息的示例: 1. 在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.1</version> </dependency> ``` 2. 在 Spring Boot 的配置文件中添加以下配置: ```yaml # 加密盐,可以自己定义 shiro.encryptSalt: mySalt # 需要加密的属性值 my.encrypted.property: ENC(7M9iu9qgMjG5+yMm5JLc3w==) ``` 3. 新建一个加解密工具类,例如: ```java import org.apache.shiro.codec.Base64; import org.apache.shiro.codec.Hex; import org.apache.shiro.crypto.AesCipherService; import org.apache.shiro.crypto.hash.Md5Hash; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import java.nio.charset.StandardCharsets; @Component public class ShiroEncryptUtils { private static final Logger LOGGER = LoggerFactory.getLogger(ShiroEncryptUtils.class); @Value("${shiro.encryptSalt}") private String encryptSalt; private final AesCipherService aesCipherService; @Autowired public ShiroEncryptUtils(AesCipherService aesCipherService) { this.aesCipherService = aesCipherService; } /** * 加密 * * @param plaintext 明文 * @return 密文 */ public String encrypt(String plaintext) { // 加密密钥 byte[] key = new Md5Hash(encryptSalt.getBytes(StandardCharsets.UTF_8)).getBytes(); // 生成随机向量 byte[] iv = aesCipherService.generateNewInitializationVector(); // 加密 byte[] encrypted = aesCipherService.encrypt(plaintext.getBytes(StandardCharsets.UTF_8), key, iv); // 将向量和密文转换为十六进制字符串 String ivHex = Hex.encodeToString(iv); String encryptedHex = Hex.encodeToString(encrypted); return "ENC(" + ivHex + encryptedHex + ")"; } /** * 解密 * * @param ciphertext 密文 * @return 明文 */ public String decrypt(String ciphertext) { if (ciphertext == null || !ciphertext.startsWith("ENC(") || !ciphertext.endsWith(")")) { LOGGER.warn("Invalid ciphertext: {}", ciphertext); return ""; } String encryptedString = ciphertext.substring(4, ciphertext.length() - 1); // 解密密钥 byte[] key = new Md5Hash(encryptSalt.getBytes(StandardCharsets.UTF_8)).getBytes(); // 从密文中提取向量和密文 byte[] iv = Hex.decode(encryptedString.substring(0, 32)); byte[] encrypted = Hex.decode(encryptedString.substring(32)); // 解密 byte[] decrypted = aesCipherService.decrypt(encrypted, key, iv); return new String(decrypted, StandardCharsets.UTF_8); } /** * Base64 编码 * * @param plaintext 明文 * @return Base64 编码后的字符串 */ public String encodeBase64(String plaintext) { return Base64.encodeToString(plaintext.getBytes(StandardCharsets.UTF_8)); } /** * Base64 解码 * * @param ciphertext Base64 编码后的字符串 * @return 明文 */ public String decodeBase64(String ciphertext) { return new String(Base64.decode(ciphertext), StandardCharsets.UTF_8); } } ``` 4. 在需要解密的属性上添加 `@Value` 注解和 `@PostConstruct` 注解。例如: ```java @Component public class MyComponent { @Value("${my.encrypted.property}") private String encryptedProperty; @Autowired private ShiroEncryptUtils shiroEncryptUtils; private String decryptedProperty; @PostConstruct public void init() { decryptedProperty = shiroEncryptUtils.decrypt(encryptedProperty); } // ... } ``` 通过以上代码,我们可以使用 Apache Shiro 安全地加解密 Spring Boot 配置文件中的敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值