shiro反序列化漏洞修复

最新推荐文章于 2024-06-11 19:15:14 发布
最新推荐文章于 2024-06-11 19:15:14 发布
阅读量1.5w 收藏 23
点赞数 7
分类专栏: shiro 安全漏洞 文章标签: shiro 安全漏洞
原文链接:https://blog.csdn.net/weixin_38307489/article/details/104618667
版权

文章目录

shiro反序列化漏洞修复

前言

最近项目在进行安全漏洞扫描的时候,出现一个shiro的反序列化漏洞的问题:目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒!
在这里插入图片描述

解决方案

后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那就好说了,按照源码的方式新写一个秘钥生成器

public class GenerateCipherKey {

    /**
     * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)
     * @return
     */
    public static byte[] generateNewKey() {
        KeyGenerator kg;
        try {
            kg = KeyGenerator.getInstance("AES");
        } catch (NoSuchAlgorithmException var5) {
            String msg = "Unable to acquire AES algorithm.  This is required to function.";
            throw new IllegalStateException(msg, var5);
        }

        kg.init(128);
        SecretKey key = kg.generateKey();
        byte[] encoded = key.getEncoded();
        return encoded;
    }
}

最后在shiro的配置文件里,引用GenerateCipherKey的generateNewKey方法

<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
		<property name="cipherKey" value="#{T(com.xxx.xxx.xxx.xxx.GenerateCipherKey).generateNewKey()}"></property>
		<property name="cookie" ref="rememberMe"></property>
	</bean>

参考地址:https://blog.csdn.net/weixin_38307489/article/details/104618667

落后挨打
关注
  • 7
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro反序列化漏洞分析、模拟攻击及修复(二)
婷子的博客
03-02 3420
shiro反序列化漏洞模拟攻击 得知cookie的流程后,我们可以根据其处理流程进行恶意请求数据构造,首先使用ysoserial将恶意数据进行序列化,其次将序列化后的数据进行AES加密,然后将AES密文进行BASE64编码,最后得到精心构造的包含恶意请求的rememberMe内容。 这里我们按照前16字节的密钥–>后面加入序列化参数–>AES加密–>base64编码–>...
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
shiro反序列化分析
最新发布
2301_79724395的博客
06-11 756
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5192
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2546
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
shiro反序列化测试工具.zip
06-04
在这个名为"shiro反序列化测试工具.zip"的压缩包中,包含的是用于检测Shiro框架是否存在反序列化漏洞的测试工具。这些工具可以帮助开发者或安全研究员识别并修复潜在的安全隐患,确保应用的安全性。 以下是关于...
shiro反序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro反序列化漏洞。`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。...
Shiro反序列化漏洞详细分析 .pdf
09-05
本文主要探讨了Shiro中的一个严重安全漏洞,即shiro-550反序列化漏洞,以及与其相关的shiro-721 Padding Oracle Attack。这个漏洞可能导致攻击者执行任意代码,对企业的业务风控和信息安全构成威胁。 **shiro-550...
shiro RememeberMe 1.2.4反序列化漏洞
Ping_Pig的博客
12-08 1211
shiro简介: shiro(Java安全框架):apache shiro 是一个强大且易用的java安全框架框架,执行身份验证 、授权、密码和会话管理。使用shiro的易于理解的API,可以快速、轻松的获得任何应用程序,从最小的的移动应用程序到最大的网络和企业应用程序。apache shiro在java的权限及安全验证框架中占有重要的一席之地,在它编号为550的issue中爆出过严重的java...
shiro 反序列化漏洞解决方案
u014730578的博客
10-24 184
检测工具:shiro_attack-4.7.0-SNAPSHOT-all.zip。官方默认key:kPH+bIxk5D2deZiIxcaaaA==升级到更新版本: 1.3.0 兼容 jdk1.7。问题版本shiro1.2.4。
【apache shiro 反序列化漏洞解决方案】
qq_44836497的博客
09-23 300
apache shiro反序列化漏洞解决方案-初版
记一次shiro反序列化漏洞解决方案
qq_34065789的博客
09-02 983
在网络信息管理部门的一次清查中,系统被测出存在shiro反序列化漏洞,如图一。 当时shiro的版本为1.2.2,按照网上所说的,运行稳定的项目可以通过在配置文件的securityManager中配置rememberMe,并写一个1.2.5及以上版本中解决shiro漏洞的类来修复漏洞,具体代码如下: 配置: <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManage...
Shiro反序列问题修复
weixin_38277138的博客
05-15 1940
Shiro反序列问题修复
修复shiro 反序列化漏洞
08-18
Apache Shiro反序列化漏洞是指攻击者可以利用Shiro框架中的反序列化漏洞,通过构造恶意的序列化数据,来执行任意代码或者获取敏感信息的漏洞。攻击者可以通过发送恶意请求或者利用其他漏洞来触发该漏洞,从而实现攻击目的。为了防止该漏洞的利用,建议及时更新Shiro框架版本,并加强对系统的安全防护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值