guns shiro 升级

最新推荐文章于 2024-04-19 01:50:36 发布
最新推荐文章于 2024-04-19 01:50:36 发布
阅读量808 收藏
点赞数
分类专栏: spring boot 文章标签: https 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46008168/article/details/121285184
版权

背景

之前使用guns做的项目中,由于使用的是shiro,并且使用的是它默认的AES加密公共密钥,所以,存在安全性问题。

解决

首先,需要先对shiro的版本进行升级,如果之前使用的是shiro 1.2.4之前的版本,那么会存在反序列化安全性问题。

在1.2.4版本之前,shiro问题如下。
当浏览器发送remember Me Cookie的请求时,服务端的流程如下。
读取cookie -> base64解码 -> AES解密 -> 反序列化。

在1.2.4版本之前,这个AES加密的密钥是预设好的kPH+bIxk5D2deZiIxcaaaA== 并且,没有通过其他的方式来设置这个秘钥。是一个预设值。
此时,由于,我们知道这个这个加密密钥,所以,破解过程如下。
因为,我们知道了AES密钥,所以,我们可以生成任意我们想要的Cookie。

那么,在1.2.4版本之后,这个预设的密钥就删除掉了。需要用户自己进行设置。但是,又产生了一个问题,像guns这种系统密钥是设定死了,直接在guns中能够找到。而关键代码可以在github 上通过api search接口搜索到,从而得到一个所谓的key包,就是这些密钥的集合,然后用这些公开的密钥去轮流尝试,如果用guns框架的话,就会导致密钥泄漏。

所以,这个密钥不能被泄漏。
在这里插入图片描述
我使用了公共密钥+加随机数的方式来生成密钥。这样保证了每次bean初始化的时候 对称密钥是不一样的。

总结

第一,可以把当前shiro的版本进行升级,可以升级到1.7.0
第二,AES加密密钥要进行更改,新的密钥不要被别人获取到。

相关链接

weixin_46008168
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro所有版本jar
04-03
shiro所有的jar包 还有跟cas集成的jar包 以及shiro官网的jar下载地址
guns视频(含收费部分)
06-11
具体详情 https://gitee.com/wuburen/guns #Guns V3.2 新版Guns基于SpringBoot全面升级,完美整合springmvc + shiro + mybatis-plus + beetl!
Shiro反序列化漏洞】Shiro-550反序列化漏洞复现,2024年最新通用流行框架大全
最新发布
2401_83946044的博客
04-19 775
我们可以看到,这个图形化的工具就很清楚检测出这个url存在shiro框架,并且还爆破出来了shiro550的迷人AES加密的key值:kPH+bIxk5D2deZiIxcaaaA==,这样就可以证明这个url存在shiro漏洞。对于shiro550,其漏洞的核心成因是cookie中的身份信息进行了AES加解密,用于加解密的密钥应该是绝对保密的,但在。,该秘钥默认是默认硬编码的,所以如果没有修改默认的密钥,就自己可以生成恶意构造的cookie了。的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级1.2.5版本或以上 那么在我的项目中,选择的是升级版本1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决;
【修复了Shiro反序列化漏洞】后台管理系统开发神器:Guns-v5.0
05-11
1.重点:原始的Guns5.0,shiro存在反序列化漏洞,本次发布的框架,升级shiro至1.7版本,并修复了代码中存在的反序列化漏洞,这个版本Guns框架的优点在于易上手,比较友好。 2. 后台管理系统开发,用这个开源框架开发,一般都能从容应对。 3. Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl!Guns项目代码简洁,注释丰富,上手容易,同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典管理等10个模块),可以直接作为一个后台管理系统的脚手架
springboot整合的开源Guns
07-11
Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl + flowable!Guns项目代码简洁,注释丰富,上手容易, 同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典管理等10个模块),可以直接作为一个后台管理系统的脚手架.Guns v3.0新增rest api服务,提供对接服务端接口的支持,并利用jwt token鉴权机制给予客户端的访问权限,传输数据进行md5签名保证传输过程数据的安全性!Guns v3.1新增集成工作流引擎flowable6.2.0!Guns 4.0升级到全新的spring boot 2.0并大大简化了前端资源文件!
shiro1.2.4反序列化漏洞(CVE-2016-4437)的问题分析(一)
donggongai的博客
07-26 1251
在某个项目中依赖了shiro1.2.4,结果收到了网警的一纸警告,警告上明确写道存在CVE-2016-4437以及造成此漏洞的罪魁祸首是使用了
笔记:shiro和springboot整合流程及注意事项
FelixZFJ的博客
09-14 234
授权:认证通过之后,获取认证返回的用户对象,然后通过对象中的id属性编写sql,联表查询出对应的角色集合,再通过遍历角色集合返回一个只有角色Id的字符串,编写sql查询出对应的权限信息。注:单表可以直接由mapper/service搞定,多表查询还是需要写到xml中,然后调用对应的方法,返回需要的值。认证:获取token里存储的用户名,然后编写sql返回一个实体类对象,判断实体类是否为空,为空则抛出异常。4.最后需要添加全局异常,需要分别添加认证和授权两个异常,认证需要根据具体的异常设定不同的返回信息。
关于Shiro反序列化漏洞的延伸—升级shiro也能被shell
jiangbb8686的博客
08-30 8085
首先感谢白帽子木板凳,本篇文章是对他提交的一个poc引发的思考。 0x00 概述 第一次接触shiro反序列化漏洞还是16年8月份,距离现在已经很久了,那时候只知道拿着个POC到处打,原理大致看过一下,也没太在意。 但是这次遇到一个问题——某些应用“将shiro升级1.2.4之后版本,还存在反序列化漏洞” 0x01 事件过程: 开始: 收到到一个漏洞和一段POC,发现是shiro反...
shiro-jar-1.4版本升级到1.6版本问题探讨
weixin_38215472的博客
10-30 3898
最近公司领导用阿里云的工具扫描服务器上的项目,发现很多的高危漏洞; 其中有一个是shiro-jar-1.4版本存在高风险漏洞,所以赶紧解决它: 项目情况:这个项目是公司以前的旧项目,没有源代码,只有服务器上面的 war 包文件。 开始干活: 在官网下载了shiro-1.6的相关jar包文件: 然后把项目服务停掉,把shiro-1.4的jar 包删除了,上传1.6的版本jar 包,重启服务器; 呃,启动正常访问不了,查看错误日志: 提示项目jdk的版本不一致!!!!!! shiro-1.4
apache shiro 如何升级_Shiro登录认证
weixin_39636099的博客
11-26 1414
我们使用一个springboot+Shiro集成项目来了解一下Shiro在登录认证方面是如何运作的。1、pom依赖添加<dependency> <groupId>org.apache.shirogroupId> <artifactId>shiro-coreartifactId> ...
Guns系统技术文档及视频
09-11
具体详情 https://gitee.com/wuburen/guns #Guns V2.1 新版Guns基于SpringBoot全面升级,完美整合springmvc + shiro + mybatis-plus + beetl! 在不用写xml配置(V1.0)的基础上进一步简化项目配置,让您更专注于业务开发!抛弃传统spring xml的配置方式,利用springboot + javabean方式配置spring,极大简化了pom.xml配置和spring配置. Guns项目代码简洁,注释丰富,上手容易,同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典管理等10个模块),可以直接作为一个后台管理系统的脚手架. 如果您不喜欢用SpringBoot,或者您是一个spring初学者,您可以切换到Guns V1.0(点击这里)分支, Guns V1.0基于spring的java bean方式配置项目,同样简洁易上手. 注:SpringBoot强大的Auto Config和统一的依赖管理极大的简化了spring配置和maven依赖,在不了解其都配置了哪些东西的基础上可能会对初学者有一定困扰,所以建议初学者先看Guns V1.0 ##功能 简介 用户管理 角色管理 部门管理 菜单管理 字典管理 业务日志 登录日志 监控管理 通知管理 代码生成 ##使用说明 导入sql/guns.sql文件到mysql数据库 以maven方式导入项目到ide 修改application.yml中的数据库相关的配置,改为您本机的数据库配置 启动项目,管理员账号admin/密码111111 ###如何启动项目 Guns目前支持三种启动方式: 在IDE里运行GunsApplication类中的main方法启动 执行如下maven命令 clean package -Dmaven.test.skip=true 并从target目录中找到guns-1.0.0-SNAPSHOT.jar,并在jar包的目录下执行如下java命令 java -jar guns-1.0.0-SNAPSHOT.jar 修改pom.xml中如下片段 <packaging>jar</packaging> 改为 <packaging>war</packaging> 并打包放入到tomcat中执行 ##所用框架 ###前端 Bootstrap v3.3.6 jQuery v2.1.4 bootstrap-table v1.9.0 layer v2.1 zTree core v3.5.28 WebUploader 0.1.5 ###后端 SpringBoot 1.5.3.RELEASE MyBatis-Plus 2.0.8 MyBatis 3.4.4 Spring 4.3.8.RELEASE Beetl 2.7.15 hibernate-validator 5.3.5.Final Ehcache 3.3.1 Kaptcha 2.3.2 Fastjson 1.2.31 Shiro 1.4.0 Druid 1.0.31 ##项目包结构说明 ├─main │ │ │ ├─java │ │ │ │ │ ├─com.stylefeng.guns----------------项目主代码 │ │ │ │ │ │ │ ├─common----------------项目公用的部分(业务中经常调用的类,例如常量,异常,实体,注解,分页类,节点类) │ │ │ │ │ │ │ ├─config----------------项目配置代码(例如mybtais-plus配置,ehcache配置等) │ │ │ │ │ │ │ ├─core----------------项目运行的核心依靠(例如aop日志记录,拦截器,监听器,guns模板引擎,shiro权限检查等) │ │ │ │ │ │ │ ├─modular----------------项目业务代码 │ │ │ │ │ │ │ ├─GunsApplication类----------------以main方法启动springboot的类 │ │ │ │ │ │ │ └─GunsServletInitializer类----------------用servlet容器启动springboot的核心类 │ │ │ │ │ └─generator----------------mybatis-plus Entity生成器 │ │ │ ├─resources----------------项目资源文件 │ │ │ │ │ ├─gunsTemplate----------------guns代码生成模板 │ │ │ │ │ ├─application.yml----------------springboot项目配置 │ │ │ │ │ ├─ehcache.xml----------------ehcache缓存配置 │ │ │ └─webapp----------------web页面和静态资源存放的目录 │ 注:SpringBoot项目默认不支持将静态资源和模板(web页面)放到webapp目录,但是个人感觉resources目录只放项目的配置更加简洁,所以就将web页面继续放到webapp目录了.
Guns视频教程 收费版
08-20
Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl + flowable!Guns项目代码简洁,注释丰富,上手容易, 同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典管理等10个模块),可以直接作为一个后台管理系统的脚手架.Guns v3.0新增rest api服务,提供对接服务端接口的支持,并利用jwt token鉴权机制给予客户端的访问权限,传输数据进行md5签名保证传输过程数据的安全性!Guns v3.1新增集成工作流引擎flowable6.2.0!Guns 4.0升级到全新的spring boot 2.0并大大简化了前端资源文件!
apache shiro 如何升级_springboot集成shiro
weixin_39955149的博客
11-26 159
一 前言本篇内容是关于shiro权限框架的使用,当然知识追寻者不会手把手傻瓜式的把代码给你,而是先要让你理解权限的核心是什么,shiro进行权限认证的流程,结合核心代码展现方式给大家;公众号:知识追寻者知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;) ...
SpringBoot 整合 Shiro 实现动态权限加载更新+ Session 共享 + 单点登录
weixin_44421461的博客
11-02 299
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析...
Apache Shiro反序列化高危漏洞升级,结果导致org.apache.shiro.crypto.CryptoException: Unable to acquire a Java JCA
weixin_39309402的博客
12-03 1532
突然接到一个通知,关于Shiro RememberMe 1.2.4反序列化高危漏洞加固整改的通知,要求对一个老系统进行整改。这个漏洞的危害以及影响范围是什么呢?因为Shiro默认使用“CookieRememberMeManager”,其在处理cookie的流程中,使用了AES加解密,但是,AES的密钥却是硬编码的,导致攻击者可以构造恶意数据,造成反序列化的远程命令执行漏洞,获取目标系统控制权限,Shiro1.2.4及以下版本都受该漏洞影响,如何解决呢? 1.升级Shiro版本1.2.5及以上 2.修改
shiro版本的漏洞通过升级shiro版本解决
会写Bug的攻城狮
04-05 1802
攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好)由于版本升级附带了一些其它功能,还需要以下两个jar包:(都可以从上面的库中查找到)出现的问题:shiro1.3升级1.7遇到重定向登录页面时报400错误。关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例)将低版本升级到高版本1.7.0---->1.9.1。下载地址:(Maven库)
shiro升级shiro-1.7.1
zhuimenghou的博客
07-20 2856
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6663
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本shiro-1.3.2也可顺利升级shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
guns redis集群
11-15
根据提供的引用内容,我们可以得知guns redis集群的实现需要进行以下两个步骤: 1.在命令行中启动redis集群,具体步骤如下: ```shell # 下载redis源码 wget http://download.redis.io/releases/redis-5.0.5.tar.gz # 解压 tar xzf redis-5.0.5.tar.gz cd redis-5.0.5 # 编译 make # 启动redis集群 ./src/redis-trib.rb create --replicas 1 127.0.0.1:7000 127.0.0.1:7001 127.0.0.1:7002 127.0.0.1:7003 127.0.0.1:7004 127.0.0.1:7005 ``` 2.修改guns项目的配置文件,使其支持redis集群。具体步骤如下: 修改guns\guns-admin\src\main\resources\application.yml文件,添加以下配置: ```yaml spring: redis: cluster: nodes: - 127.0.0.1:7000 - 127.0.0.1:7001 - 127.0.0.1:7002 - 127.0.0.1:7003 - 127.0.0.1:7004 - 127.0.0.1:7005 ``` 修改guns\guns-admin\src\main\java\com\stylefeng\guns\config\web\WebConfig.java文件,启用RedisHttpSession: ```java @Configuration public class WebConfig extends WebMvcConfigurerAdapter { @Bean public RedisHttpSessionConfiguration redisHttpSessionConfiguration() { RedisHttpSessionConfiguration configuration = new RedisHttpSessionConfiguration(); configuration.setMaxInactiveIntervalInSeconds(1800); return configuration; } @Bean public JedisConnectionFactory connectionFactory() { JedisConnectionFactory connection = new JedisConnectionFactory(); connection.setHostName("127.0.0.1"); connection.setPort(6379); return connection; } @Bean public HttpSessionStrategy httpSessionStrategy() { return new HeaderHttpSessionStrategy(); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值