springboot shiro默认密钥致命漏洞 修复

最新推荐文章于 2024-05-14 12:45:00 发布
最新推荐文章于 2024-05-14 12:45:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: JAVA 文章标签: shiro默认秘钥致命漏洞 shiro漏洞修复 shiro漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weijia3624/article/details/116709234
版权

第三方给系统做检测时发现shiro默认密钥致命漏洞,提醒要修改,查了资料,已经修复,有需要交流,请联系Q 1766168900
在这里插入图片描述
原因在这里
在这里插入图片描述
更新配置文件后,正常
在这里插入图片描述
在这里插入图片描述

weijia3624
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5212
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
本项目基于SpringBoot框架,结合Shiro、pac4j和CAS,构建了一个完整的JWT认证中心,旨在实现高效、安全的SSO解决方案。 1. **SpringBoot**: SpringBoot是Spring框架的一个扩展,它简化了Spring应用的初始搭建以及...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5142
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
聊聊Shiro的反序列化漏洞,以及内存马技术!
最新发布
A_991128a的博客
05-14 1028
0x01 Filter工作原理它与Servlet类似,也是由Servlet 容器进行调用和执行的,一般用于进行请求过滤,如权限控制编码/敏感过滤等等。当在 web.xml 注册了一个Filter来对某个Servlet程序进行拦截处理时,它可以决定是否将请求继续传递给Servlet程序,以及对请求和响应消息是否进行预修改。0x02 Filter 链在一个 Web 应用程序中可以注册多个Filter程序,每个 Filter 程序都可以对一个或一组Servlet程序进行拦截。
Spring Boot项目Shiro1.7.1版本默认密钥漏洞
UDWORLD的博客
09-06 3028
Shiro1.7.1版本默认密钥漏洞
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
Shiro反序列化漏洞(CVE-2016-4437)+docker靶场+工具利用
weixin_46411728的博客
07-16 2140
shiro_attack_2.2
vulhub- apereo-cas-4.1-rce
Ronin_qianmo的博客
07-29 551
1、漏洞说明 Apereo CAS 是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞(硬编码导致的漏洞),进而执行任意命令。 2、登录网址 http://x.x.x.x:8080 发现是404网页,进不去,看一下漏洞说明文件才发现是 http://x.x.x.x/cas/login 3、4.1.7 之前 Apereo CAS 的开箱即用默认配置使用默认密钥changeit public
SpringBoot Shiro授权实现过程解析
08-25
SpringBoot Shiro授权实现过程解析 在SpringBoot项目中,Shiro是一个非常流行的授权框架,它提供了完善的授权机制,可以帮助开发者轻松实现授权功能。在本文中,我们将详细介绍SpringBoot Shiro授权实现过程解析,...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
Springboot+shiro单点登录实现.md
09-15
Springboot+shiro单点登录实现,本文档是单点登录的全部源代码。
shiro_tool.zip
11-18
https://blog.csdn.net/xixiyuguang/article/details/109744942
springboot-shiro
10-18
SpringBootShiro构建细粒度动态权限管理系统详解》 在现代Web开发中,权限管理是不可或缺的一部分,尤其对于企业级应用来说更是如此。SpringBoot以其轻量级、便捷的特性,已经成为Java开发的首选框架之一。而...
Apereo CAS 4.1 反序列化漏洞复现
LuckySec
08-27 1985
PS:欢迎访问我的个人博客 http://luckyzmj.cn 0x01 漏洞简介 Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。 影响版本 Apereo CAS <= 4.1.7 0x02 环境准备 使用vulhub复现漏洞环境。 vulhub官网地址:https://vulhub.org cd vulhub/apereo-
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1156
使用shiro默认密钥的隐患
shiro反序列化漏洞修复(使用随机密钥
m0_67400973的博客
03-28 2487
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
shiro修改用户密码
分享日常bug
05-12 404
个人理解做法 如果感觉有什么不对可以评论区提出来哈。
Shiro:Springboot集成shiro进行认证授权、加密处理
m0_63180675的博客
08-02 662
这是我学了两周整理出来的项目笔记,然后厘米有shiro的认证、授权、md5+salt+hash散列 进行加密处理、集成redis缓存
Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 2732
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
springboot shiro
09-02
SpringBoot Shiro是一个基于SpringBoot框架实现的权限控制框架。它提供了一种简单易用且高效的方式来实现用户认证和授权功能。通过使用Shiro的注解和配置,可以方便地对系统的资源进行权限管理。 使用SpringBoot Shiro的过程大致可以分为以下几个步骤: 1. 下载Shiro并创建项目,导入所需的依赖。 2. 在项目中配置Shiro的相关文件,包括log4j.properties和shiro.ini等。 3. 编写Shiro的相关代码,比如定义用户信息、角色和权限等。 4. 运行测试,验证Shiro的功能是否正常运行。 在SpringBoot Shiro中,有一个核心组件叫做SecurityManager,它负责与其他组件进行交互,并管理着所有的Subject。SecurityManager相当于SpringMVC中的DispatcherServlet角色。它是整个Shiro框架的核心,负责处理与安全相关的操作。 总之,SpringBoot Shiro是一个功能强大且易于使用的权限控制框架,可以帮助开发人员快速实现用户认证和授权功能。通过按照上述步骤进行配置和编码,可以轻松地集成ShiroSpringBoot项目中,实现灵活的权限管理。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SpringBoot Shiro授权实现过程解析](https://download.csdn.net/download/weixin_38663608/12745281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [SpringBoot(36) —— Shiro快速开始](https://blog.csdn.net/Jzandth/article/details/108914211)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weijia3624

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值