shiro安全漏洞整理记录

已于 2022-03-15 20:33:24 修改
阅读量741 收藏 1
点赞数
文章标签: java 开发语言
于 2022-03-15 20:32:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014785575/article/details/123511384
版权

记一次shiro安全漏洞处理。

问题描述

 shrio反序列漏洞修复

修复方式

1、确定使用的shiro版本是否高于1.2.4

<shiro.version>1.2.6</shiro.version>

2、在代码中添加类文件生成AES密钥

package cn.hy.common.config;

import org.apache.log4j.Logger;
import org.springframework.context.annotation.Bean;

import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import java.security.NoSuchAlgorithmException;

public class GenerateCipherKey {

    private static final Logger log = Logger.getLogger(GenerateCipherKey.class);
    /**
     * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)
     *
     * @return 随机生成秘钥
     */
    @Bean
    public static byte[] generateNewKey() {

        KeyGenerator keyGenerator;

        try {
            keyGenerator = KeyGenerator.getInstance("AES");
        } catch (NoSuchAlgorithmException e) {
            String msg = "Unable to acquire AES algorithm. This is required to function.";
            throw new IllegalStateException(msg, e);
        }

        keyGenerator.init(128);
        SecretKey secretKey = keyGenerator.generateKey();
        byte[] encoded = secretKey.getEncoded();

        log.info("生成随机秘钥成功!");

        return org.apache.shiro.codec.Base64.decode(encoded);
    }
}


<!-- rememberMe管理器 -->
	<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
		<!-- rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)-->
		<!--<property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/> -->
		<property name="cipherKey" value="#{T(cn.hy.common.config.GenerateCipherKey).generateNewKey()}"/>
		<property name="cookie" ref="rememberMeCookie"/>
	</bean>

	<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
		<constructor-arg value="rememberMe"/>
		<property name="httpOnly" value="true"/>
		<property name="maxAge" value="2592000"/><!-- 30天 -->
	</bean>

陈名亮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro系列漏洞利用以及实战总结
jammny
10-14 1万+
前言: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。 目录 RememberMe RCE-550(CVE-2016-4437) 远程安全限制绕过漏洞(CVE-2016-6802) Padding Orac
shrio反序列漏洞修复_shiro反序列化漏洞
weixin_30247833的博客
01-17 3321
shrio反序列化漏洞一、漏洞介绍ShiroJava 的一个安全框架。Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。参考文章:http:/...
shrio反序列化--漏洞复现
DM_LL的博客
06-12 603
shrio反序列化--漏洞复现
shiro漏洞浅探
最新发布
2301_82000839的博客
05-16 996
CVE-2020-11989 的修复补丁存在缺陷,在 1.5.3 及其之前的版本,由于 shiro 在处理 url 时与 spring 仍然存在差异,依然存在身份校验绕过漏洞由于处理身份验证请求时出错,远程攻击者可以发送特制的 HTTP 请求,绕过身份验证过程并获得对应用程序的未授权访问。该漏洞产生的原因主要是shiro层在处理url上和spring上存在差异,主要是在处理;上的问题,通过构造含有;符号的url即可绕过shiro在权限上的处理,而spring不负责权限管控,所以最终会导致权限绕过。ant。
Shiro反序列化漏洞检测及修复(工具分享)
热门推荐
weixin_46418540的博客
10-12 1万+
写在前面 这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。 我在之前项目中碰到了这个问题,由于shiro使用的版本1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 在此特别感谢其作者 feihong飞鸿。 下载地址 https://github.com/feihong-cs/S
web中间件漏洞--shiro漏洞
qq_42404383的博客
12-14 1651
一、初步认识shiro来源 是什么: Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。 背景: 2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞。尽管该漏洞已经曝光几年,但是在实战中仍然比较实用。 二、如何利用shiro漏洞 漏洞原理: Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密
shiro远程命令执行漏洞检测工具.zip
11-15
shiro远程命令执行漏洞检测工具:包括了shiro_attack_2.2和ShiroExploit.V2.51,大家可根据需要自行下载
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
JAVA安全之Shrio550-721漏洞原理及复现
shelter1234567的博客
11-16 1619
关于shrio漏洞,网上有很多博文讲解,这些博文对漏洞的解释似乎有一套约定俗成的说辞,让人云里来云里去,都没有对漏洞产生的原因深入地去探究.....本文从现象到本质,旨在解释清楚Shrio漏洞是怎么回事!550和721到底有什么区别!两者利用前提到底是什么?(有别于网络上的解释,如有错误还望大佬及时指正)
shrio反序列漏洞修复_Shiro-550反序列化漏洞复现
weixin_42172204的博客
01-17 818
0x01 漏洞简介Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。影响版本 Sh...
thinkphp漏洞_雷神众测漏洞周报 2020.5.182020.5.244
weixin_39725154的博客
12-01 229
No.1声明以下预警内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。No.2目录1.Apache Tomcat ...
shrio反序列漏洞修复_Apache Shiro Java 反序列化漏洞分析
weixin_36003864的博客
01-17 637
Author: rungobier(知道创宇404安全实验室)Date: 2016-08-030x00 概述Apache ShiroJava 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我们将模拟还原此漏洞的场景以及分析过程。0x01 漏洞场景还原首先,需要获取 Apache Shiro 存在漏洞的源代码,具体操作如下...
shrio反序列漏洞修复_提醒:Apache Dubbo存在反序列化漏洞
weixin_39583521的博客
12-01 124
背景:近日监测到Apache Dubbo存在反序列化漏洞(CVE-2019-17564),此漏洞可导致远程代码执行。Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。鉴于漏洞危害较大,建议尽快更新软件。情报通告:威胁程度:个人风险评级:低危企业风险评级:中危情报风险预警:对公司影响等级为中,对使用Apache Dubbo相应版本的企业均有被攻击的风险。情报描述:...
shiro defaultkey无利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 3004
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2482
说明:shiro版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复此漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
Shiro使用官方方法生成密钥
m0_67391521的博客
03-28 1699
原文链接:这里,这里! 0.前言 平台漏洞扫描,扫描到一堆安全问题,其中有个关于Shiro的。主要是说如果项目中shiro key为默认密钥或者网络公开密钥,就可以轻易的导致远程代码执行。 本文框架SSM+shiro。 1.解决思路 (1)升级Shiro版本,为1.7.0以上 (2)自定义一个base 64 AES密钥 (3)使用官方生成的方法提供密钥 本文选择的是第三种办法: 我们在shrio新建一个类。参照下面的代码进行添加: import javax.crypto.KeyGenerator; impo
shiro721漏洞检查工具
12-28
shiro721漏洞检查工具是一款专门用于检测网络安全漏洞的软件。它可以帮助用户发现网络系统中存在的各种漏洞和安全隐患,从而提前预防可能的安全风险。该工具具有扫描快速、全面性强的特点,可以有效地发现系统中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值