guns shiro 升级

最新推荐文章于 2024-04-19 01:50:36 发布
最新推荐文章于 2024-04-19 01:50:36 发布
阅读量825 收藏
点赞数
分类专栏: spring boot 文章标签: https 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46008168/article/details/121285184
版权

背景

之前使用guns做的项目中,由于使用的是shiro,并且使用的是它默认的AES加密公共密钥,所以,存在安全性问题。

解决

首先,需要先对shiro的版本进行升级,如果之前使用的是shiro 1.2.4之前的版本,那么会存在反序列化安全性问题。

在1.2.4版本之前,shiro问题如下。
当浏览器发送remember Me Cookie的请求时,服务端的流程如下。
读取cookie -> base64解码 -> AES解密 -> 反序列化。

在1.2.4版本之前,这个AES加密的密钥是预设好的kPH+bIxk5D2deZiIxcaaaA== 并且,没有通过其他的方式来设置这个秘钥。是一个预设值。
此时,由于,我们知道这个这个加密密钥,所以,破解过程如下。
因为,我们知道了AES密钥,所以,我们可以生成任意我们想要的Cookie。

那么,在1.2.4版本之后,这个预设的密钥就删除掉了。需要用户自己进行设置。但是,又产生了一个问题,像guns这种系统密钥是设定死了,直接在guns中能够找到。而关键代码可以在github 上通过api search接口搜索到,从而得到一个所谓的key包,就是这些密钥的集合,然后用这些公开的密钥去轮流尝试,如果用guns框架的话,就会导致密钥泄漏。

所以,这个密钥不能被泄漏。
在这里插入图片描述
我使用了公共密钥+加随机数的方式来生成密钥。这样保证了每次bean初始化的时候 对称密钥是不一样的。

总结

第一,可以把当前shiro的版本进行升级,可以升级到1.7.0
第二,AES加密密钥要进行更改,新的密钥不要被别人获取到。

相关链接

weixin_46008168
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
笔记:shiro和springboot整合流程及注意事项
FelixZFJ的博客
09-14 239
授权:认证通过之后,获取认证返回的用户对象,然后通过对象中的id属性编写sql,联表查询出对应的角色集合,再通过遍历角色集合返回一个只有角色Id的字符串,编写sql查询出对应的权限信息。注:单表可以直接由mapper/service搞定,多表查询还是需要写到xml中,然后调用对应的方法,返回需要的值。认证:获取token里存储的用户名,然后编写sql返回一个实体类对象,判断实体类是否为空,为空则抛出异常。4.最后需要添加全局异常,需要分别添加认证和授权两个异常,认证需要根据具体的异常设定不同的返回信息。
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级1.2.5版本或以上 那么在我的项目中,选择的是升级版本1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决;
Shiro反序列化漏洞】Shiro-550反序列化漏洞复现,2024年最新通用流行框架大全
最新发布
2401_83946044的博客
04-19 885
我们可以看到,这个图形化的工具就很清楚检测出这个url存在shiro框架,并且还爆破出来了shiro550的迷人AES加密的key值:kPH+bIxk5D2deZiIxcaaaA==,这样就可以证明这个url存在shiro漏洞。对于shiro550,其漏洞的核心成因是cookie中的身份信息进行了AES加解密,用于加解密的密钥应该是绝对保密的,但在。,该秘钥默认是默认硬编码的,所以如果没有修改默认的密钥,就自己可以生成恶意构造的cookie了。的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
关于Shiro反序列化漏洞的延伸—升级shiro也能被shell
jiangbb8686的博客
08-30 8134
首先感谢白帽子木板凳,本篇文章是对他提交的一个poc引发的思考。 0x00 概述 第一次接触shiro反序列化漏洞还是16年8月份,距离现在已经很久了,那时候只知道拿着个POC到处打,原理大致看过一下,也没太在意。 但是这次遇到一个问题——某些应用“将shiro升级1.2.4之后版本,还存在反序列化漏洞” 0x01 事件过程: 开始: 收到到一个漏洞和一段POC,发现是shiro反...
shiro升级shiro-1.7.1
zhuimenghou的博客
07-20 2927
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
make后gcc出现不全_安装篇:Linux CentOS7环境下gcc升级
weixin_39637711的博客
11-02 486
简短介绍大家好,今天给大家分享gcc编译器的升级方法。在linux系统中其实已经自带了gcc编译器,但是版本比较低。目前有些开源工具例如:Apache Doris在安装时需要更高版本的gcc 5.3.1+以上版本编译器才能编译c++代码。那么我们就了解下gcc升级方法(从 4.8.5 升级到 10.2.0 )。01—gcc升级步骤1、查看当前gcc版本##看出当前系统gcc版本.默...
Guns视频教程 收费版
08-20
Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl + flowable!Guns项目代码简洁,注释丰富,上手容易, 同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典...
【修复了Shiro反序列化漏洞】后台管理系统开发神器:Guns-v5.0
05-11
1.重点:原始的Guns5.0,shiro存在反序列化漏洞,本次发布的框架,升级shiro至1.7版本,并修复了代码中存在的反序列化漏洞,这个版本Guns框架的优点在于易上手,比较友好。 2. 后台管理系统开发,用这个开源框架开发...
Guns系统技术文档及视频
09-11
#Guns V2.1 新版Guns基于SpringBoot全面升级,完美整合springmvc + shiro + mybatis-plus + beetl! 在不用写xml配置(V1.0)的基础上进一步简化项目配置,让您更专注于业务开发!抛弃传统spring xml的配置方式,利用...
Guns 技术文档 v5.1.rar
05-29
9. **模块化设计**:Guns采用模块化设计,各个功能模块独立,方便后期的维护和升级,同时支持插件化开发,增强系统的灵活性。 10. **部署与运行**:文档中会详细阐述如何配置和运行Guns项目,包括环境要求、依赖...
springboot整合的开源Guns
07-11
Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl + flowable!Guns项目代码简洁,注释丰富,上手容易, 同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典...
Shiro 1.7.0所需jar包
01-18
Shiro开发所需1.7.0 Jar包 一次性下载使用
基于Spring Boot完美整合springmvc + shiro + mybatis-plus + beetl(开源guns
10-21
基于Spring Boot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl,用户管理 2.角色管理 3.部门管理 4.菜单管理 5.字典管理 6.业务日志 7.登录日志 8.监控管理 9.通知管理 10.代码生成
shiro需要的全部jar包
10-19
shiro需要的全部jar包,可以结合springMAVC开发,里面有 缓存等等jar包
shiro1.2.4升级报错 org/owasp/encoder/Encode或者是org.owasp.encoder.Encode
11-16 2574
ApacheShiro反序列化远程代码执行 漏洞处理 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookierememberMe字段内容分别进行序列化、AES加密、Base64编码操作。但是,AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能漏洞描述拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将r
apache shiro 1.2.4反序列化漏洞
ggzhifeng的博客
11-04 890
Apache Shiro 简介 Apache Shiro 是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 漏洞成因 Apache Shiro 反序列化漏洞的主要成因是 shiro 在进行 remember me 操作时,将用户信息序列化后加密存储在c...
cgi进程设置多少 宝塔_详解Apache 并发优化设置方法
weixin_39797912的博客
11-12 498
Apache优化步骤:1、先查看apache的运行模式,查看命令:httpd -lCompiled in modules: core.c prefork.c http_core.c mod_so.c 这里可以看到运行模式是prefork模式。2、修改apache 的httpd.conf 配置本文是对512M 内存并装有apache的vps进行优化,请不要跟我说装nginx就强多了,确实如此,但是你...
有关shiro升级方法
热门推荐
wuxs的专栏
11-01 1万+
今年的护网行动,攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好) 下载地址:(Maven库) https://mvnrepository.com/artifact/org.apache.shiro/shiro-core 关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例) shiro-core-1.7.0.jar shiro-web-1.7.0
17-java安全——shiro1.2.4反序列化分析(CVE-2016-4437)
网络安全
09-06 1774
漏洞原理 在shiro1.2.4版本中,用户认证信息rememberMe通常会进行Base64编码和AES加密存储在cookie中,当shiro安全框架对用户身份进行认证时,会对rememberMe的内容进行Base64解码和AES解密,然后反序列化还原成java对象,由于rememberMe可控,攻击者则可以利用rememberMe来构造恶意数据,产生反序列化漏洞。 漏洞环境 shiro1.2.4 jdk7u80 漏洞复现 在github下载shiro1.2.4版本,下载链接:
guns redis集群
11-15
根据提供的引用内容,我们可以得知guns redis集群的实现需要进行以下两个步骤: 1.在命令行中启动redis集群,具体步骤如下: ```shell # 下载redis源码 wget http://download.redis.io/releases/redis-5.0.5.tar.gz...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值