Apache Shiro Java反序列化漏洞记录
最近工作上刚好碰到了这个漏洞,当时的漏洞扫描出来后一直升级shiro也没效果,最后才发现是,shiro的rememberMe功能的AES密钥一旦泄露,就会导致反序列化漏洞。
而无论是否升级shiro到最新版本还是什么,ShiroConfig类里面的rememberMe管理器如果没有做修改大部分都是一样的代码,所以很容易就会被攻击到。
/**
* rememberMe管理器, cipherKey生成见{@code Base64Test.java}
*/
@Bean
原创
2021-04-10 20:21:17 ·
329 阅读 ·
0 评论