【apache shiro 反序列化漏洞解决方案】

已于 2022-09-23 15:39:06 修改
阅读量331 收藏
点赞数 1
分类专栏: Java 文章标签: java spring 前端
于 2022-09-23 15:34:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44836497/article/details/127011699
版权
  1. 升级shiro1.2.4至新版本shiro1.7.1
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.7.1</version>
        </dependency>
  1. spring+springMVC+shiro1.2.4
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!--Shiro验证用户登录的类为自定义的Realm-->
		<property name="realm" ref="systemAuthorizingRealm" />
		<property name="sessionManager" ref="sessionManager" />
		<property name="cacheManager" ref="shiroCacheManager" />
		<!--注入rememberMe cookie管理器-->
    <property name="rememberMeManager" ref="rememberMeManager"/>
	</bean>
	<!--rememberMe管理器 -->
	<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
    <!--调用ShiroCustomAESKeyUtil.getKey()生成秘钥 -->
		 <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('wJSvYJrENEKdaXaMPChpaw==')}"/>
	</bean>

3,秘钥生成

import org.apache.shiro.crypto.AesCipherService;

import java.security.Key;

public static String getKey(){
		AesCipherService aesCipherService = new AesCipherService();
		Key key = aesCipherService.generateNewKey();
		System.out.println("key is ="+key);
		System.out.println("encoder is ="+java.util.Base64.getEncoder().encodeToString(key.getEncoded()));
		return java.util.Base64.getEncoder().encodeToString(key.getEncoded());
	}
笑风尘灬
关注
专栏目录
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437) 复现
yukinorong的博客
06-29 3260
基础知识 序列化和反序列化 反序列化漏洞原因 在Java反序列化中,会调用被反序列化的readObject方法,当readObject方法书写不当时就会引发漏洞反序列化的检测 基础库中隐藏的反序列化漏洞 优秀的Java开发人员一般会按照安全编程规范进行编程,很大程度上减少了反序列化漏洞的产生。并且一些成熟的Java框架比如Spring MVC、Struts2等,都有相应的防范反序列化的机制。如果仅仅是开发失误,可能很少会产生反序列化漏洞,即使产生,其绕过方法、利用方式也较为复杂。但
Apache Shiro反序列化漏洞研究及解决方法
热门推荐
技术点滴
04-02 1万+
前言 一个阳光明媚的午休,我正惬意的喝着茶听着音乐,享受美好生活的时候,客户的QQ头像闪动了,原以为是出了什么新需求临时需要调整,没想到客户反馈的是平台出现了严重漏洞,不敢小视,抄起电脑开弄 我根据客户给出的安全厂商反馈的问题,总结如下: 1,Shiro反序列化漏洞 2,提到了dnslog.cn平台 了解Shiro反序列化漏洞 参考官方的JIRA文档记录,https://issues....
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5391
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
Shiro框架漏洞复现(附修复方法)
最新发布
C233333235的博客
08-07 516
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。在Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。其Cookie的Key的值为RememberMe,Value的值是经过序列化、AES加密和Base64编码后得到的结果。
shiro反序列化漏洞修复
m0_67394360的博客
03-28 818
文章目录 shiro反序列化漏洞修复 前言 解决方案 shiro反序列化漏洞修复 前言 最近项目在进行安全漏洞扫描的时候,出现一个shiro反序列化漏洞的问题:目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 解决方案 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那就好说了,按照源码的方式新写一个秘钥生成器 pu
shiro反序列化漏洞环境搭建
帅醉了的博客
05-09 2657
kali下shiro反序列化漏洞环境搭建 git clone https://github.com/apache/shiro.git git checkout shiro-root-1.2.4 #进入shiro cd samples/web 安装mvn工具 sudo apt-get install openjdk-8-jdk sudo mkdir -p /usr/local/apache-maven wget http://ftp.wayne.edu/apache/maven/maven-3/3.3.9/
第03篇:Shiro 反序列化漏洞利用汇总1
08-03
Apache Shiro是一个广泛使用的Java安全框架,它提供了全面的安全解决方案,包括身份验证、授权、加密以及会话管理。本文主要关注Shiro中的两个安全漏洞,一个是RememberMe反序列化漏洞Shiro-550),另一个是...
Shiro反序列化漏洞详细分析 .pdf
09-05
本文主要探讨了Shiro中的一个严重安全漏洞,即shiro-550反序列化漏洞,以及与其相关的shiro-721 Padding Oracle Attack。这个漏洞可能导致攻击者执行任意代码,对企业的业务风控和信息安全构成威胁。 **shiro-550...
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3698
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2689
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复此漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
Apache Shiro反序列化漏洞复现(Shiro550,CVE-2016-4437)
来到了学渣的博客
04-25 9038
Shiro是什么东西? ShiroJava 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 ...
Shiro反序列问题修复
weixin_38277138的博客
05-15 2044
Shiro反序列问题修复
漏洞复现】 Shiro 反序列化漏洞
zkaqlaoniao的博客
11-09 3145
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
Apache Shiro反序列化漏洞修复
spring_is_coming的博客
12-02 794
Apache Shiro反序列化漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

笑风尘灬

如果有用,请博主喝杯咖啡叭

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值