shiro-jar-1.4版本升级到1.6版本问题探讨

最新推荐文章于 2024-07-30 11:04:49 发布
最新推荐文章于 2024-07-30 11:04:49 发布
阅读量1k 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393593/article/details/124020118
版权

最近公司领导用阿里云的工具扫描服务器上的项目,发现很多的高危漏洞;

其中有一个是shiro-jar-1.4版本存在高风险漏洞,所以赶紧解决它:

项目情况:这个项目是公司以前的旧项目,没有源代码,只有服务器上面的 war 包文件。

第一种方法升级 shiro-1.4.jar 到 shiro-1.6.jar,开始干活:

在官网下载了shiro-1.6的相关jar包文件:

下载shior-1.6jar 包地址: https://pan.baidu.com/s/1aKpXD1ceugMuoXu0ot16Cw 提取码: 8ay6

然后把项目服务停掉,把shiro-1.4的jar 包删除了,上传1.6的版本jar 包,重启服务器;

呃,启动正常访问不了,查看错误日志:

提示项目jdk的版本不一致!!!!!!

接着查看shiro.jar包的jdk编译版本:

shiro-1.4的jar ,Build-Jdk: 1.8.0_77

shiro-1.6的jar, Build-Jdk: 11.0.7

检查jar包shiro-1.4是jdk1.8编译的,shiro-1.6是jdk11编译的;

所以撤回项目还原了。

决定另外搭建一套环境,配置服务器的jdk为11 版本。

兴奋的启动。。。

呃,结果有出错了:

java.lang.NoClassDefFoundError:javax/xml/soap/SOAPException;

查了很多资料找到问题原因:

jdk9 以下的版本包含:javax.xml.soap 这个模块;

jdk9及以上这个路径下就没有这个模块了,

所以jar包升级失败了。。。此路不通。

下面就开始尝试另外一种方法:修改Shiro源代码AbstractRememberMeManager中的Key值:

可以参考 :https://blog.csdn.net/Dothwinds/article/details/105244830?utm_medium=distribute.pc_aggpage_search_result.none-task-blog-2allfirst_rank_v2~rank_v28-4-105244830.nonecase&utm_term=shiro%E6%BC%8F%E6%B4%9E%E6%9C%AC%E5%9C%B0%E4%BF%AE%E5%A4%8D&spm=1000.2123.3001.4430

在shiro 的配置文件 :shiro-context.xml, 进行修改:

DESKey值是写死的:4AvVhmFLUs0KTA3Kprsdag==;

所以修改成动态的Key值就完美解决问题了:

public class GenerateCipherKey {

public static byte[] getCipherKey() {
KeyGenerator kg;
try {
kg = KeyGenerator.getInstance(“AES”);
} catch (NoSuchAlgorithmException e) {
String msg=“shiro 密钥随机生成异常”;
throw new IllegalStateException(msg ,e);
}
kg.init(128);
SecretKey sk = kg.generateKey();
byte[] cipherKey = sk.getEncoded();
return cipherKey;

}
}

m0_67393593
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro所需jar
01-14
log4j shiro-all slf4j-api slf4j-log4j12等4个jar
shiro-all由1.2.3.jar 升级到1.7.0.jar以上版本遇到的问题
lee的博客
11-09 416
ApplicationContext.xml中loginUrl的值由“/”改成“/index.jsp”shiroFilter配置中: loginUrl配置问题。缺少OWASP Java Encoder 的jar导致。增加这个jar以后就不会报错了。添加owasp的jar包即可。
记一次shiro升级版本,1.3.0——>1.10.0,登录失败的问题
最新发布
weixin_42045233的博客
07-30 195
shiro升级版本问题
apache shiro怎么升级_springboot整合shiro 框架
weixin_39659748的博客
11-26 182
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达66套java从入门到精通实战课程分享写这篇文章主要是记录我的学习过程,刚开始在网上找资料的时候,网上的资料很乱。所以自己整合了一个比较简单的shiro的使用方法,shiro是什么、怎么用就不用我在这里详细的讲解了。1.添加依赖 <dependency> <groupId>org....
apache shiro 如何升级_非常详尽的 Shiro 架构解析
weixin_39943101的博客
11-26 2569
Shiro是什么?Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 官网:http://shiro.apache.orgShiro...
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-jar-1.7.0.zip相关资源包
12-24
解决:升級1.7后附件中文路径报400错误的问题 压缩包中包含: shiro-cas-1.7.0.jar shiro-core-1.7.0.jar shiro-ehcache-1.7.0.jar shiro-spring-1.7.0.jar shiro-web-1.7.0.jar CustomShiroFilterFactoryBean.java ...
shiro-jar.zip
12-12
shiro-all-1.7.1.jar,shiro-aspectj-1.7.1.jar,shiro-cache-1.7.1.jar,shiro-config-core-1.7.1.jar,shiro-config-ogdl-1.7.1.jar,shiro-core-1.7.1.jar,shiro-crypto-cipher-1.7.1.jar,shiro-crypto-core-1.7.1.jar...
shiroshiro-all-1.8.0.jar
03-21
shiroshiro-all-1.8.0.jar
apache shiro怎么升级_Shiro框架:认证和授权原理
weixin_39845220的博客
11-26 174
优质文章,及时送达前言Shiro作为解决权限问题的常用框架,常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍:Shiro可以做什么?、Shiro是由什么组成的?举个Shiro的例子呗?Shiro认证的原理是咋样的?Shiro授权的原理是咋样的?1. Shiro可以做什么?在构建一个网络应用的时候,权限检验管理作为非常重要的安全措施,需要包含以下几点:用户认证—...
权限系统框架shiro教程
07-10
shiro,权限系统框架,比spring security更加轻量方便的框架
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级版本到1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决;
Apache Shiro教程
12-30
Apache Shiro 是一个框架,可用于身份验证和授权。Apache Shiro的教程(PDF),相关jar包,源码等。
shiro 升级 quarz 2.2
Hi, Sun
03-23 242
http://nonobaba.iteye.com/blog/2312468
apache shiro怎么升级_没时间直播,先来一波 Shiro 整合 Spring Boot 图文教程
weixin_39685392的博客
11-26 177
Shiro 概述Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。什么意思?大白话就是判断用户是否登录、是否拥有某些操作的权限等。其实不用 Shiro,我们使用原生 Java API 就可以完成安全管理,很简单,使用过滤器去拦截用户的各种请求,然后判断是否登录、是否...
Spring Boot 整合 Shiro ,两种方式全总结!
weixin_33810006的博客
06-11 144
在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。 一般来说,Spring Security 和 Shiro 的比较如下:Spring Security 是一个重量级的安全管理框架Shiro 则是一个轻量级的安全管理框架Spring Security 概念复杂,配置繁琐;Shiro 概念简单、配...
spring-boot+shiro升级shiro1.6错误
m0_67391521的博客
04-25 629
最近HW行动报告指出了shiro的鉴权漏洞,根据网上的方法把shiro升级1.6就可以解决漏洞了 做了这步修改后,运行项目出现了报错,提示shiro的过滤器无法创建bean经过反复查看项目,发现1.6还要引入一个shiro-web的jar包 引入后成功解决。 ...
apache shiro 如何升级_(八) SpringBoot起飞之路-整合Shiro详细教程(MyBatis、Thymeleaf)
weixin_39622710的博客
11-25 490
注:如果觉得不清楚,可以去看我博客或者最下面扫,看清晰的版本,知乎上传时图片可能被压缩了兴趣的朋友可以去了解一下前几篇,你的赞就是对我最大的支持,感谢大家!(一) SpringBoot起飞之路-HelloWorld(二) SpringBoot起飞之路-入门原理分析(三) SpringBoot起飞之路-YAML配置小结(入门必知必会)(四) SpringBoot起飞之路-静态资源处理(五) Spri...
shiro-core升级到1.11.0版本需要注意哪些测试点
06-13
升级shiro-core到1.11.0版本时需要注意以下测试点: 1. 认证和授权:确认认证和授权功能是否正常。 2. 性能:测试升级后的性能,确保没有出现任何性能问题。 3. 兼容性:测试升级后的兼容性,确保没有出现任何兼容性问题。 4. 安全性:测试升级后的安全性,确保没有出现任何安全问题。 5. 异常处理:测试升级后的异常处理,确保没有出现任何异常。 6. 可靠性:测试升级后的可靠性,确保没有出现任何可靠性问题。 7. 配置项:确认配置项是否仍然有效,例如Realm的配置等。 需要注意的是,在测试升级后的版本时,一定要对所有的代码路径进行测试,确保没有遗漏任何问题。此外,如果你的应用程序有与shiro-core相关的第三方依赖库,也需要对这些依赖库进行测试,确保没有出现任何问题。同时,还需要注意新版本与旧版本的差异,特别是在API方面的变化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值