Apache Shiro反序列化漏洞复现并利用(CVE-2016-4437)
关于CVE-2016-4437漏洞描述
Apache Shiro 1.2.5之前的版本中,当没有为“记住我”功能配置密码密钥时,远程攻击者可通过未指定的请求参数执行任意代码或绕过预期的访问限制。
影响版本:Apache Shiro <= 1.2.4
漏洞原理
Apache Shiro框架提供了Remember Me功能,用户登录成功后会生成经过加密并编码的Cookie,即使关闭了浏览器,再次访问时无需进行登录操作即可以之前的身份访问网站。
默认情况下,Shiro使用CookieRemembe
原创
2021-01-10 11:31:50 ·
2585 阅读 ·
0 评论