Apache Shiro身份验证绕过漏洞处置方案

最新推荐文章于 2024-06-01 20:47:45 发布
最新推荐文章于 2024-06-01 20:47:45 发布
阅读量1.6k 收藏
点赞数
分类专栏: web安全攻防详解 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34236803/article/details/109460923
版权

Apache Shiro身份验证绕过漏洞处置方案

2020年8月18日Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。

漏洞描述

Apache Shiro是一个强大且易用的Java安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用Shiro的易用API,您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的WEB和企业应用程序。

2020年8月18日,Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。

CVE-2020-13933漏洞,复现截图如下:

img

金属质感分割线

风险等级

高危

影响范围

Apache Shiro < 1.6.0

金属质感分割线

处置建议

更新至最新版本:http://shiro.apache.org/download.html

吾爱测试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989)
文公子的博客
11-03 3368
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989) Apache Shiro是一个强大且易用的Java安全框架,它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证,授权等。 漏洞详情 腾讯安全玄武实验室研究员发现在Apache Shiro 1.5.3之前的版本,将Apache Shiro与Spring控制器一起使用时,特制请求可能会导致身份验证绕过漏洞发现者 该漏洞由腾讯安全玄武实验室的Ruilin发现并报告,此外来自边界无限的淚笑也独立向官方报
漏洞通告│Oracle JDeveloper 远程代码漏洞Apache Shiro权限绕过漏洞
zz_tech的博客
07-01 3066
众至实验室漏洞通告Oracle JDeveloper 远程代码漏洞Apache Shiro权限绕过漏洞
【无标题】
weixin_45400833的博客
07-30 379
shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。特征:cookie中含有rememberMe字段更新shiro到1.2.4以上的版本。不使用默认的加密密钥,改为随机生成密钥。
CVE-2020-13933: Apache Shiro 权限绕过漏洞分析
爱国小白帽
09-22 5696
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-092201 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-22 0x01 漏洞简述 2020年08月18日, 360CERT监测发现 Apache Shiro 发布了 Apahce Shiro 权限绕过 的风险通告,该漏洞编号为 CVE-2020-13933,漏洞等级:高危,漏洞评分:8.0。 Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕
Apache Shiro身份验证绕过漏洞CVE-2010-3863)
最新发布
weixin_62117955的博客
06-01 296
低于 1.1.0 的 Apache Shiro 和 JSecurity 0.9.x 在将 URI 路径与 shiro.ini 文件中的条目进行比较之前不会将其规范化,这允许远程攻击者通过构建的请求绕过预期的访问限制,如 /、/./、../、//。Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。无法访问对管理页面的直接请求,并将重定向到登录页面。靶机地址:192.168.159.128。以绕过身份验证检查并成功访问管理页面。
vulfocus——Shiro 身份验证绕过(CVE-2020-13933)
m0_62063669的博客
09-03 1128
Apache Shiro身份验证绕过漏洞CVE-2020-11989的修复补丁存在缺陷,在1.5.3及其之前的版本,由于shiro在处理url时与spring仍然存在差异,依然存在身份校验绕过漏洞由于处理身份验证请求时出错,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。构造特定 PoC 请求指定资源时,不触发身份验证,并绕过权限。(通过特殊payload绕过权限,通过%3b绕过)不知道怎么去找flag,求大佬指教。呜呜呜,对于小白太难了。
Apache Shiro 认证绕过漏洞(CVE-2020-1957)
EC_Carrot的博客
07-28 249
漏洞简介 在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造…;这样的跳转,可以绕过Shiro中对目录的权限限制。 漏洞复现 直接请求管理页面http://your_ip:8080/admin/,无法访问,将会被重定向到登录页面,但是恶意构造/xxx/..;/admin/即可绕过检验访问到管理界面: ...
Apache Shiro 认证绕过漏洞复现
DXfighting_的博客
04-15 1003
Apache Shiro是一个强大且易用的Java安全框架,它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证,授权等。 在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造`..;`这样的跳转,可以绕过Shiro中对目录的权限限制。 访问界面并抓包: 我直接访问admin,会302重定向 换成/xxx/…;/admin/ ...
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
Apache Shiro 身份验证绕过漏洞安全风险通告
03-24
Apache Shiro 身份验证绕过漏洞安全风险通告
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache Shiro是一个全面的Java安全框架,用于处理应用程序的安全需求,包括身份验证、授权、密码管理和会话管理。它的核心功能之一是“RememberMe”服务,该服务允许用户在关闭浏览器后仍然保持登录状态,无需在下次...
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可...
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
漏洞预警|Apache Shiro身份认证绕过漏洞
LJQClqjc的博客
07-08 1207
开源漏洞预警近日网上有关于开源项目Apache Shiro身份认证绕过漏洞 ,棱镜七彩安全研究院对漏洞进行了POC验证。项目介绍Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。项目地址https://shiro.apache.org/代码托管地址https://github.com/apache/shiro漏洞概述当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶
Shiro 身份验证绕过 (CVE-2020-13933)
weixin_46801402的博客
11-01 494
Shiro 身份验证绕过 (CVE-2020-13933)
Apache Shiro 认证绕过漏洞(CVE-2020-1957)
Myu_wzy的博客
10-24 1524
使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用Apache Shiro 和 Spring Boot 对URL的处理的差异化,可以绕过Apache Shiro 对 Spring Boot 中的 Servlet的权限控制,越权并实现未授权访问。
spring boot 解决Apache Shiro身份认证绕过漏洞(CVE-2023-22602)
06-02
对于Spring Boot项目中的Apache Shiro身份认证绕过漏洞(CVE-2023-22602),可以通过以下步骤进行解决: 1.升级Apache Shiro到1.7.1或更高版本。可以在项目的Maven或Gradle依赖中更新Apache Shiro的版本。 2.检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值