关于JeeSite框架Shiro序列化漏洞修复解决方法

最新推荐文章于 2024-04-05 07:51:39 发布
最新推荐文章于 2024-04-05 07:51:39 发布
阅读量3.4k 收藏 2
点赞数 1
分类专栏: shiro 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ying_521125/article/details/109893850
版权

关于JeeSite框架Shiro序列化漏洞修复解决方法

一、升级shiro的版本

在这里插入图片描述
将这里改为百度上所说的那个有漏洞的版本以上的随便版本:1.2.4以上版本

这里刚开始以为修改版本就可以解决这个漏洞,然而并没有。所以产生了第二步。

二、配置动态密匙

1、找到项目shiro配置文件

在这里插入图片描述

2、按照源码的方式新写一个秘钥生成器

(1) 到项目种shiro目录下面新建一个类(如下图)

在这里插入图片描述

(2) 详细代码
public class GenerateCipherKey {
    /**
     * 随机生成密匙
     */
    public static byte[] getcipherKey(){
        KeyGenerator kg;
        try{
            kg = KeyGenerator.getInstance("AES");
        }catch (NoSuchAlgorithmException e) {
            String msg = "Unable to acquire AES algorithm. This is required to function.";
            throw new IllegalStateException(msg, e);
        }
        kg.init(128);
        SecretKey sk = kg.generateKey();
        byte[] cipherkey = sk.getEncoded();
        return cipherkey;
    }
}

3、修改shiro安全管理配置

(1)新增 property 内容rememberMeManager

在这里插入图片描述

	<!-- 定义Shiro安全管理配置 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="systemAuthorizingRealm" />
		<property name="sessionManager" ref="sessionManager" />
		<property name="cacheManager" ref="shiroCacheManager" />
		<property name="rememberMeManager" ref="rememberMeManager" /> 
	</bean>
(2)新增自定义rememberMeManager 配置 并引用GenerateCipherKey的generateNewKey方法
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
		<property name="cipherKey" value="#{T( com.thinkgem.jeesite.common.security.shiro.GenerateCipherKey).getcipherKey()}"/>
</bean>

参考博客:https://blog.csdn.net/qq_34775355/article/details/106643678

RayToDev
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Shiro序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
Shiro序列化漏洞Shiro版本升级资源
06-22
序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的...
Shiro序列化报错,SimpleByteSource 报错
蕃薯耀的博客
04-25 608
一、问题描述 java.io.NotSerializableException: org.apache.shiro.util.SimpleByteSource 没有实现Serializable接口报错。 [dev][ERROR][2022-04-20 10:35:52.935] [authentication%0043ache.data] [ at net.sf.ehcache.store.disk.DiskStorageFactory$DiskWriteTask.call(DiskStorag..
CVE-2024-23897 JenKins任意文件读取漏洞复现,一个网络安全程序员的阿里面试心得
最新发布
m0_60666921的博客
04-05 759
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
关于Shiro使用密码加密加盐之后序列化失败的问题(十四)
Doge的技术小屋
11-10 333
原文:https://blog.csdn.net/qq_34021712/article/details/84567437 shiro使用密码加盐之后,序列化失败 ERROR Failed to serialize 之前的博客一直都是使用的明文存储,一直没有写对密码进行加密、加盐处理,有很长时间没有写关于shiro的博客了,期间有很多人加我咨询shiro的问题,今天有个哥们说使用密码加盐后出现序列化失败的问题,找了一下原因,最后记录到博客,希望能给遇到此问题的人一些帮助。 原shiro配置 这里只贴出来造成
jeecg的登录流程
小鲍侃java
11-02 4510
1.前段调用接口 2.后台调用 其中用户表为 sys_user 3.后台实现 (1).验证用户信息 @RequestMapping(value = "/login", method = RequestMethod.POST) @ApiOperation("登录接口") public Result<JSONObject> login(@RequestBody S...
JeeSite3.0框架Shiro序列化漏洞修复解决方法
weixin_43865714的博客
02-16 1526
Jeesite3.0框架项目Apache Shiro序列化漏洞修复
记一次任意文件下载漏洞思路(jeesite框架)
Websec
09-10 9269
1、测试某个系统的文件下载的接口,看到下载接口的参数为url,参数值是文件的绝对路径,实测发现存在任意文件下载的漏洞。 post包如下: GET /xxxx/oaNotify/downLoadFile?fileUrl=xxxxxx.pdf HTTP/1.1 Host:xxxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0 Accept: text/html.
5.jeecg的登录及权限(jwt+shiro)
weixin_46666822的博客
11-13 3304
controller先验证验证码然后验证用户是否有效然后验证用户名和密码,通过的话会生成token生成tokenJWTToken刷新生命周期 (实现: 用户在线操作不掉线功能)
Shiro系列(一)——Shiro + Springboot + JWT 整合
玖涯博客
02-17 1341
写在前面 本文的出现表示不再进行 Spring Security Oauth 实现的研究了,原因是原开源项目已经被废弃了不再更新了,而且 Oauth 实现的内容有些奇怪,新的项目 spring-authorization-server 目前才发布到 0.1.0,默认只提供了基于内存的实现,个人认为还不是很完善,不适合用到项目中。而且 Spring Security 的 Oauth 流程都实现了,要修改还得从新研究 spring-authorization-server 的实现逻辑,然后进行修改定制,太耗费精
web安全(5)-- 越权操作
热门推荐
TaneRoom的博客
11-18 2万+
越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​
jeecg代码阅读-使用shiro的例子
bool的博客
11-06 2295
最近在阅读jeecg的shiro权限那块,话说jeecg写的真是棒。 pom依赖: <!--JWT--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> </dependency> <!.
shiro序列化脚本.zip
07-28
需要用到的俩个文件 ysoserial-master.jar 和 poc.py
shiro序列化工具,加强版
12-27
shiro序列化工具,加强版
shiro序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
接口验证和限制响应次数
weixin_45943355的博客
03-08 967
需求分析 最近很闲,就写个功能型小程序,用uniapp写的,没有使用云数据库,就自己买了个腾讯的云服务器,很便宜,在买个域名,十多天完成备案,把这些都准备好就可以开始写了,首先就想到了2个功能,短视频解析和运动步数修改,这些代码都是网上参考原理写出来的。因为我懒得弄那些加密什么的,本以为就自己用,没想到居然还有人使用xss注入攻击我网站,真的无语。后台使用的是jeesite社区版的,功能很强大,那些sql注入都被拦截下来了,我看了也就没理会,以为他会放弃的,可没想到攻击者一个接着一个来,都不消停了,看.
解决jeesite ckfinder上传中文文件无法查看的问题
weixin_43865714的博客
02-16 354
解决jeesite ckfinder上传中文文件无法查看的问题
Jeesite安全问题检查及解决方案
chuannie2342的博客
07-27 1331
1、检测到目标URL存在跨站漏洞,检测到目标URL存在框架注入漏洞解决方案: 第一步:web.xml注册监听 <filter> <filter-name>XssFilter</filter-name> <filter-class...
修复shiro序列化漏洞
08-18
Apache Shiro序列化漏洞是指攻击者可以利用Shiro框架中的反序列化漏洞,通过构造恶意的序列化数据,来执行任意代码或者获取敏感信息的漏洞。攻击者可以通过发送恶意请求或者利用其他漏洞来触发该漏洞,从而实现攻击目的。为了防止该漏洞的利用,建议及时更新Shiro框架版本,并加强对系统的安全防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值