shiro
言玉gz
这个作者很懒,什么都没留下…
展开
-
Shrio解析Session过程
第一次使用SecurityUtils.getSubject()来获取Subject时public static Subject getSubject() { Subject subject = ThreadContext.getSubject(); if (subject == null) { subject = (new Su...原创 2018-11-15 16:50:24 · 806 阅读 · 1 评论 -
Shiro默认拦截器
默认拦截器名拦截器类说明(括号里的表示默认值)身份验证相关的authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter基于表单的拦截器;如 “/**=authc”,如果没有登录会跳到相应的登录页面登录;主要属性:usernameParam:表单提交的用户名参数名( username); pas...原创 2018-11-15 17:19:42 · 528 阅读 · 0 评论 -
安全
越权修改Cookie、Session、Token、认证、授权的关系表单重复提交1. 越权修改1.1 场景在进行渗透测试的时候,发现了一个越权修改用户密码的例子在修改密码页面抓包,替换成其他用户的id且用户密码相同的情况下,便可以成功修改该用户密码。由于服务端只将用户的id和旧密码进行了匹配,所以攻击者可以收集大量用户名后,对使用了某些相同弱密码的用户进行批量修改密码例如:我们数...原创 2018-11-28 18:29:46 · 488 阅读 · 0 评论