Spring Apache Shiro 默认密钥致命令执行漏洞及解决方案

最新推荐文章于 2024-04-09 15:03:13 发布
最新推荐文章于 2024-04-09 15:03:13 发布
阅读量4.3k 收藏 5
点赞数 2
文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liqiang_8257/article/details/115514382
版权

最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同

漏洞检测工具
下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip
如图:

OK,检测下漏洞:


这样,我们看到了,检测到了使用默认的shiro密钥


解决方案:
每个项目的情况都可能不一样,所以有不同的解决办法。
现象:
使用的是springmvc,shiro1.2.4,spring 4.2.5

shiro默认的安全管理器使用了默认的shiro密钥,即使项目中开发者不配置,那么shiro也会加载。
既然开发人员没有配置,那么我们就配置下。

创建一个密钥生成的类


配置中使用


需要注意
在阿里云给的建议中,需要升级shiro版本1.7,但是此版本需要升级spring,这块可能会出现修改其他一些功能和代码问题。
所以,在此,我们不升级shiro,还是用老版本,只是增加密钥的管理方式,不再用默认密钥即可

修改后检测


至此,问题解决,希望对看见的开发者有帮助。

liqiang_8257
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro1.7.1全包修补漏洞.rar
07-18
Shiro 1.7.1所需jar包漏洞修补最新包
shiro_tool.zip
10-11
一款好用的shiro检测利用工具,使用方式java -jar shiro_tool.jar https://xx.xx.xx.xx,Github有开源下载链接,在这里上传是为了赚积分下载别的工具,欢迎使用
Apache Shiro 默认密钥命令执行漏洞
Loveme_CN的博客
11-18 5206
Apache Shiro 默认密钥命令执行漏洞1、 漏洞描述:2、漏洞特征:3、修复建议:4、修复过程JAR包升级修复RemberMe功能 今天登录服务器上面提示有漏洞提示:Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)【远程扫描】,接下来吾爱编程为大家介绍一下Apache Shiro 默认密钥命令执行漏洞的修复方法,有需要的小伙伴可以参考一下 1、 漏洞描述: Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、
Java项目中修复Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)详细说明
一火的专栏
11-18 9760
目录 1.漏洞说明 1.1阿里云漏洞短信内容 1.2阿里云漏洞详细报告 2.详细修复步骤 2.1下载漏洞验证工具 3.Java项目修改 3.1修改前注意事项 3.2Jar包准备 3.3增加一个自定义秘钥代码 3.4修改shiro配置 3.5修复后漏洞检测结果 4.常见问题 4.1Unsupported major.minor version 52.0 4.2org.springframework.web.servlet.mvc.annotation.AnnotationM..
apache shiro 反序列化漏洞解决方案_apache shiro反序列化解决方法(1)
2401_84159966的博客
04-09 804
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。 1,漏洞描述: Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击攻击者可以通过以下步骤完成攻击: 1、登录Shiro网站,获取持久化cookie中rememberMe字段的值;
Spring Boot项目Shiro1.7.1版本默认密钥漏洞
UDWORLD的博客
09-06 2989
Shiro1.7.1版本默认密钥漏洞
Apache Shiro 默认密钥命令执行漏洞(反序列化攻击
weixin_42845320的博客
06-24 2544
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5194
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1122
使用shiro默认密钥的隐患
springboot shiro默认密钥致命漏洞 修复
m0_67392931的博客
04-08 884
第三方给系统做检测时发现shiro默认密钥致命漏洞,提醒要修改,查了资料,已经修复,有需要交流,请联系Q 1766168900 原因在这里 更新配置文件后,正常
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
基于Spring Boot和Apache Shiro的企业门户前后端系统设计源码
最新发布
04-11
本源码提供了一个基于Spring Boot和Apache Shiro的企业门户前后端系统设计。项目包含1520个文件,其中包括452个JavaScript文件、319个PNG图片、227个HTML文件、178个Java源文件、99个JPG图片、88个CSS样式文件、24个...
Apache shiro的简单介绍与使用教程(与spring整合使用)
01-11
现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring Security那么多强大的功能,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单的Shiro就足够了。...
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
主要介绍了Spring Security 和Apache Shiro你需要具备哪些条件,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
shiro远程命令执行漏洞检测工具.zip
11-15
shiro远程命令执行漏洞检测工具:包括了shiro_attack_2.2和ShiroExploit.V2.51,大家可根据需要自行下载
Shiro框架漏洞
m0_67393413的博客
03-28 4052
一、Shiro漏洞原理 Apache Shiro框架提供了记住我的功能(RemeberMe),用户登录成功后会生成经过加密并编码的cookie。 cookie的key为RemeberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的 在服务端接收cookie值时,按以下步骤解析: 检索RemeberMe cookie的值 Base 64解码 使用ACE解密(加密密钥硬编码) 进行反序列化操作(未作过滤处理) 在调用反序列化的时候未进行任何过滤,导致
ShiroApache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5031
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)的解决方案
初始shiro
weixin_45750514的博客
10-12 590
Apache ShiroJava 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证(登录)、授权(角色,权限)、加密(pass加密)、会话管理、与Web 集成、缓存等。 package com.xiexin.shiroTest; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.Incorre
shiro默认库在哪里
01-07
Shiro 默认库在 Java 项目的 Maven 仓库中查找。Shiro 是一个开源的 Java 安全框架,提供了一套易于使用且功能强大的身份认证、授权、加密、会话管理等安全特性。在 Java 项目中使用 Shiro,我们可以通过 Maven 管理依赖来引入 Shiro 默认库。 在 Maven 仓库中,大多数项目使用中央 Maven 仓库作为默认源。当我们在项目的 pom.xml 文件中添加 Shiro 依赖之后,Maven 会根据配置自动从中央仓库下载 Shiro 相关的 jar 文件。这些 jar 文件包含了 Shiro 的核心库、附加功能和扩展模块。 为了保证正确下载 Shiro 默认库,我们需要在 pom.xml 文件的 `<dependencies>` 节点中添加以下依赖块: ```xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>x.x.x</version> </dependency> <!-- 其他 Shiro 相关依赖 --> </dependencies> ``` 其中,`x.x.x` 表示 Shiro 的版本号,根据实际需要填写。除了 `shiro-core`,还有一些其他的 Shiro 相关依赖,例如 `shiro-web`(用于 Web 应用)和 `shiro-spring`(用于整合 Spring 框架)。根据具体项目需求,我们可以选择相应的依赖。 总之,Shiro 默认库在 Java 项目的 Maven 仓库中,我们可以通过配置 Maven 依赖来引入并使用。然后,我们可以利用 Shiro 提供的安全特性来增强我们的应用程序的安全性和权限管理功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值