shiro安全漏洞问题解决方案

最新推荐文章于 2024-05-22 15:22:21 发布
最新推荐文章于 2024-05-22 15:22:21 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 系统安全 Spring Boot 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34206683/article/details/121999738
版权

ruoyi之前的系统后台框架,shiro存在反序列化安全漏洞,升级了shiro jar包版本,仍然能破解:
在这里插入图片描述
因为CipherKey写死了为:fCq+/xW488hMTCD+cmJ3aQ==,容易被爆破密钥:
在这里插入图片描述
所以解决方案就是:1升级shiro jar包版本 2更换CipherKey

更换方法:
设置密钥,务必保持唯一性(生成方式,直接拷贝到main运行即可)Base64.encodeToString(CipherUtils.generateNewKey(128, “AES”).getEncoded())

wonde2018
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全漏洞解决方案.txt
11-02
安全漏洞解决方案.txt
shiro反序列化漏洞检测工具,含链接教程
08-17
1. 更新Shiro到最新版本:Apache Shiro团队会定期修复已知的安全漏洞,保持框架更新能减少风险。 2. 验证和过滤输入:对所有输入数据进行严格的验证,避免接受可疑或格式错误的序列化对象。 3. 使用安全的反序列化库...
Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 2803
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
qq_46416934的博客
09-01 1165
系统将密钥硬编码在代码里,且在官方文档中并没有强调修改该密钥,导致框架使用者大多数都使用了默认密钥。检测漏洞:ShiroConfig.java 是否包含 fCq+/xW488hMTCD+cmJ3aQ==,如果是使用的默认密钥则需要修改,防止被执行命令攻击。升级版本到 >=v.4.3.1(其实就是升级Shiro版本到1.7),并且重新生成一个新的秘钥替换cipherKey,保证唯一且不要泄漏。升级Shiro版本到 >=1.7,在调用的地方重新生成一个新的秘钥替换。都存在漏洞建议升级到shiro1.7版本。..
shiro反序列化漏洞原理
最新发布
m0_73649671的博客
05-22 314
shiro反序列化漏洞原理
Shiro反序列化漏洞检测及修复(工具分享)
热门推荐
weixin_46418540的博客
10-12 1万+
写在前面 这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。 我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 在此特别感谢其作者 feihong飞鸿。 下载地址 https://github.com/feihong-cs/S
shiro漏洞部分修复方法
m0_60721514的博客
04-22 2207
1.shiro反序列化漏洞解决方案: https://blog.csdn.net/ying_521125/article/details/109893850 2.Xss漏洞攻击: 在程序内配有java类XssHttpServletRequestWrapperNew适配器,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter) ...
shiro安全漏洞整理记录
上善若水,水善利万物而不争
03-15 749
记一次shiro安全漏洞处理。 问题描述 shrio反序列漏洞修复 修复方式 1、确定使用的shiro版本是否高于1.2.4 2、在代码中添加类文件生成AES密钥 package cn.hy.common.config; import org.apache.log4j.Logger; import org.springframework.context.annotation.Bean; import javax.crypto.KeyGenerator; import ja.
Apache Shiro反序列化漏洞研究及解决方法
技术点滴
04-02 1万+
前言 一个阳光明媚的午休,我正惬意的喝着茶听着音乐,享受美好生活的时候,客户的QQ头像闪动了,原以为是出了什么新需求临时需要调整,没想到客户反馈的是平台出现了严重漏洞,不敢小视,抄起电脑开弄 我根据客户给出的安全厂商反馈的问题,总结如下: 1,Shiro反序列化漏洞 2,提到了dnslog.cn平台 了解Shiro反序列化漏洞 参考官方的JIRA文档记录,https://issues....
十.shiro加密解密,短信免密登录,限制密码重试次数、防止暴力破解
u014203449的博客
07-28 2982
一。加密解密 存储尽量不要用明文密码,且不可逆的加密存储 1.加密算法 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的 数据,常见的散列算法如 MD5、SHA 等。一般进行散列时最好提供一个 salt(盐),比如 加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一 些 md5 解密网站很容易的通...
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-16
在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5186
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
红队武器库-Apache Shiro 反序列化漏洞
god_Zeo的安全博客
06-03 4694
Apache Shiro RememberMe 反序列化(Shiro550) Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 影响组件 Apache Shiro <= 1.2.4 实际漏洞影响范围 如果shiro的rememberMe功能的AES密钥被泄露, 就会导致反序列化漏洞,无论Shiro是什么版本。 目前网上收集到的密钥 kPH+bIxk5D2deZiIxcaaaA== wGiHplamyXlVB11UXWol8g== 2AvVhdsgUs0F
漏洞复现——shiro反序列化
小林说安全的博客
05-22 5294
漏洞复现——shiro反序列化。
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 3045
Shiro1.7.1版本默认密钥的漏洞
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2523
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复此漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
Apache Shiro 反序列化漏洞(Shiro-550 CVE-2016-4437)
渗透测试研究中心
12-03 1429
0x00 漏洞描述Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令只要remem...
shiro反序列化漏洞问题详细版(附带最新通告)
槐序二十四的博客
04-12 2052
首先道个歉,实在手里活太多,直接给各位我附上我的公众号发布的地址吧。 我司因使用shiro网站被查封!(修改版) 然后这是最新通告 Apache Shiro 身份认证绕过漏洞最新通告!再次升级至1.7.1 本人手里的活儿太多了,就犯懒了,没及时在CSDN发布,就先这样吧。抱歉了各位,改天我再发到我的博客中。 ...
shiro721漏洞检查工具
12-28
shiro721漏洞检查工具是一款专门用于检测网络安全漏洞的软件。它可以帮助用户发现网络系统中存在的各种漏洞和安全隐患,从而提前预防可能的安全风险。该工具具有扫描快速、全面性强的特点,可以有效地发现系统中的各种潜在漏洞,包括但不限于密码弱口令、未授权访问、系统配置错误等。 shiro721漏洞检查工具通过对网络系统进行扫描和分析,能够主动地发现并报告系统中的潜在安全问题,为用户提供及时的漏洞修复建议。同时,它还可以帮助用户对系统进行安全性评估和风险分析,为用户提供全面的安全防护方案。 该工具操作简单,界面友好,用户无需专业安全知识也能轻松上手。它还支持定时自动扫描功能,可以帮助用户定期对系统进行漏洞检查,保障系统安全。 总之,shiro721漏洞检查工具是一款功能强大、操作简便、安全可靠的网络安全工具,可以帮助用户提高网络系统的安全性,预防潜在的安全风险,是网络安全管理的得力助手。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值