Apache Shiro 反序列化漏洞 [org.apache.shiro.web.mgt.CookieRememberMeManager]

最新推荐文章于 2024-06-11 12:15:36 发布
最新推荐文章于 2024-06-11 12:15:36 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: 系统安全 shiro 文章标签: Apache Shiro 反序列化漏洞 远程代码执行 AES密钥 安全防范
原文链接:https://blog.csdn.net/hbxf_xs/article/details/110231242
版权

Apache Shiro 反序列化漏洞

2021-02-06 02:34:09,886 [http-bio-8000-exec-18] WARN  [org.apache.shiro.mgt.DefaultSecurityManager] - Delegate RememberMeManager instance of type [org.apache.shiro.web.mgt.CookieRememberMeManager] threw an exception during getRememberedPrincipals().
org.apache.shiro.io.SerializationException: Unable to deserialze argument byte array.
    at org.apache.shiro.io.DefaultSerializer.deserialize(DefaultSerializer.java:82)
    at org.apache.shiro.mgt.AbstractRememberMeManager.deserialize(AbstractRememberMeManager.java:514)

 

1)、Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。
在服务端接收cookie值时,按照如下步骤来解析处理:
1、检索RememberMe cookie 的值
2、Base 64解码
3、使用AES解密(加密密钥硬编码)
4、进行反序列化操作(未作过滤处理)

在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。

意思就是说shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值>>>Base64解码>>>AES解密>>>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

2)、Apache Shiro 使用公开 AES 秘钥加密传输 使用默认 AES 秘钥的服务器容易遭受反序列化攻击,攻击者能在服务端执行任意代码。 Apache Shiro 在 1.2.4 之前版本中使用 AES 硬编码秘 钥,存在严重的反序列化漏洞,攻击者可以在远程主机上执行任意指令 ,建议 检查 Shiro 版本信息,若 <=1.2.4请升级至 1.2.5 及以上版本 。

3)、也可以自定义key替换默认的来避免,生成key代码如下

 

  1. //密钥生成java代码(直接拷贝到main允许即可)

  2. KeyGenerator keygen = KeyGenerator.getInstance("AES");

  3. SecretKey deskey = keygen.generateKey();

  4. System.out.println(Base64.encodeToString(deskey.getEncoded()));

你好龙卷风!!!
关注
专栏目录
shiro550 反序列化漏洞分析
Vicl1fe的博客
03-20 945
环境搭建 我的环境 1、Maven 3.5.2 2、jdk 1.6和jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、IDEA 配置shiro 首先下载shiro-1.2.4:shiro-1.2.4下载。 文件目录如下, 进入samples\web目录下。这就算是漏洞复现的web目录了。 配置Maven 配置一下maven,在maven/conf/toolchains.xml中的toolchains 中添加以下代码。至于为什么要添加,可以看看toolchains的
Shiro使用自己的SessionId管理和rememberMe配置
cloud的技术积累
06-14 9856
Shiro中Session和RemeberMe配置
Delegate RememberMeManager
wangyue033的博客
01-28 1579
WARN [org.apache.shiro.mgt.DefaultSecurityManager] - Delegate RememberMeManager instance of type [org.apache.shiro.web.mgt.CookieRememberMeManager] threw an exception during getRememberedPrincipals(). org.apache.shiro.crypto.CryptoException: Unable to exe
Shiro报错-[org.apache.shiro.mgt.AbstractRememberMeManager] - There was a failure while trying to retri...
weixin_34261739的博客
04-08 2228
2017-04-08 11:55:33,010 WARN [org.apache.shiro.mgt.AbstractRememberMeManager] - There was a failure while trying to retrieve remembered principals. This could be due to a configuration problem or co...
Shiro框架封装cookie和session配置实现RememberMe效果------Shiro框架
最新发布
春风若有怜花意,可否许我再少年
06-11 993
Shiro框架封装cookie和session配置实现RememberMe效果------Shiro框架
shiro配置rememberMe
卑微的码农
04-15 781
package com.example.ghs.shiro.config; import lombok.extern.slf4j.Slf4j; import org.apache.shiro.codec.Base64; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.
Shiro反序列化漏洞
m0_71263989的博客
02-20 974
1、简介Apache Shiro框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。2、原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会将用户信息加密,加密过程:用户信息=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。
shiro550反序列化源代码分析
weixin_45682070的博客
11-18 913
准备: 需要maven,jdk1.8,IDEA,[shiro-1.2.4](https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4) 进入samples\web目录,拖到idea里,加载pom文件的依赖 踩坑: 问题1: 代码运行起来之后,一直包没有commons-collections4-4.0.jar这个依赖,导致不能反序列化 刚开始配置的是公司的maven地址,后来换成阿里的解决了 pom.xml依赖如下 <d
shiro session 放入到 redis 中不被序列化以及 SimpleSession 的 transient 属性序列化方式踩到的坑
weixin_41069382的博客
06-16 5156
1、先来说一下 shiro session 序列化到 redis 中的过程 shiro session 放入到 redis 中的 过程(序列化过程):1、将 shiro 的 SimpleSession 通过 RedisTemple 模板,有两种方案,即 Jackson 和 fastJson ,都是将 Java对象 打成 json,在转成 buty[] 。补充:在将 Java 对象 打成 ...
SHIRO-550 反序列化漏洞分析
热门推荐
three_feng的博客
08-12 2万+
所需环境:   1、maven 2、jdk1.6 jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、eclipse   一、搭建漏洞环境   下载漏洞示例代码 https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4   解压并使用e
shrio反序列漏洞修复_Apache Shiro Java 反序列化漏洞分析
weixin_36003864的博客
01-17 886
Author: rungobier(知道创宇404安全实验室)Date: 2016-08-030x00 概述Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我们将模拟还原此漏洞的场景以及分析过程。0x01 漏洞场景还原首先,需要获取 Apache Shiro 存在漏洞的源代码,具体操作如下...
shiro 获取请求头中的 rememberMe
weixin_30455023的博客
07-06 616
前言:   上一篇提到了, 将 sessionId 放到请求头中去, 那rememberMe是否也可以放到请求头中去呢.   其实不管是sessionId还是rememberMe, shiro都会默认往cookie里面放, 那么rememberMe肯定也是可以放到请求头中去的.   有兴趣的朋友可以去看看org.apache.shiro.web.mgt.CookieRememberMeMa...
springboot集成shiro RememberMe 报错 RememberMe services will not be performed for account
sinat_40693969的博客
06-01 588
o.a.shiro.mgt.DefaultSecurityManager : Delegate RememberMeManager instance of type [org.apache.shiro.web.mgt.CookieRememberMeManager] threw an exception during onSuccessfulLogin. RememberMe services will not be performed for account
Shrio-(自动登陆)RememberMe 笔记
qq_31316603的博客
05-07 270
1.Spring的XML配置 &lt;bean class="org.apache.shiro.web.mgt.CookieRememberMeManager" id="cookieRememberMeManager"&gt; &lt;property name="cookie" ref="cookie"&gt;&lt;/property&gt;     &lt;/b
java session cache_Java EnterpriseCacheSessionDAO类代码示例
weixin_42317115的博客
02-24 317
import org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO; //导入依赖的package包/类@Overridepublic boolean initialize(SilentGo me) throws AppBuildException {ShiroConfig config = (ShiroConfig) me.getC...
shiro配置rememberMe(记住我)功能时,抛异常SerializationException
weixin_44732379的博客
03-15 253
问题: shrio框架配置"记住我"功能时,控制台抛出异常org.apache.shiro.io.SerializationException 解决: 需将实体类实现序列化 Serializable
Shiro-集成Redis序列化失败报错解决
JolyouLu的博客
06-17 1885
Shiro-集成Redis序列化失败报错解决 最近在使用Shiro集成Redis,使用分布式缓存时序列化与序列化时报错,报错信息如 Cannot serialize; nested exception is org.springframework.core.serializer.support.SerializationFailedException: Failed to serialize object using DefaultSerializer; nested exception is java.
Shiro安全框架》专题(十)-Shiro之rememberMe
专业的计算机毕业设计指南
02-02 1223
文章目录1.Remember me简介2.登录表单中添加记住我复选框3.配置文件中配置4.登录控制器5.测试 1.Remember me简介 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1.首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2.关闭浏览器再重新打开;会发现浏览器还是记住你的; 3.访
shiro mgt包下DefaultSecurityManager
weixin_45912825的博客
11-11 260
2021SC@SDUSC DefaultSecurityManager类图 #mermaid-svg-vLuEnrNW1kGFjunK .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-vLuEnrNW1kGFjunK .label text{fill:#333}#mermaid-svg-vLuEnrNW1kGFj
springboot 实现 org.apache.ibatis.cache.Cache接口
05-05
Spring Boot 和 MyBatis 都是非常流行的 Java 开发框架,它们的结合可以非常方便地实现缓存功能。下面是一个简单的示例,展示了如何在 Spring Boot 中实现 MyBatis 的 Cache 接口。 1. 首先,我们需要在 `application.properties` 文件中配置 MyBatis 的缓存: ``` mybatis.configuration.cache-enabled=true mybatis.configuration.cache-impl=org.apache.ibatis.cache.impl.PerpetualCache ``` 这将启用 MyBatis 的缓存,并使用 `PerpetualCache` 作为缓存实现。 2. 接下来,我们需要创建一个实现 MyBatis `Cache` 接口的类。我们可以使用 `PerpetualCache` 类作为基础,并添加一些自定义逻辑,例如在缓存中存储和检索数据时记录日志。 ``` public class MybatisCache implements Cache { private final String id; private final Cache delegate; private final Logger logger = LoggerFactory.getLogger(MybatisCache.class); public MybatisCache(String id) { this.id = id; this.delegate = new PerpetualCache(id); } @Override public String getId() { return this.id; } @Override public int getSize() { return this.delegate.getSize(); } @Override public void putObject(Object key, Object value) { this.logger.debug("putObject: key={}, value={}", key, value); this.delegate.putObject(key, value); } @Override public Object getObject(Object key) { Object value = this.delegate.getObject(key); this.logger.debug("getObject: key={}, value={}", key, value); return value; } @Override public Object removeObject(Object key) { this.logger.debug("removeObject: key={}", key); return this.delegate.removeObject(key); } @Override public void clear() { this.logger.debug("clear"); this.delegate.clear(); } } ``` 上面的代码中,我们使用 `PerpetualCache` 作为缓存实现,并添加了一个日志记录器,用于在存储和检索数据时记录日志。 3. 最后,我们需要在 `SqlSessionFactory` 中配置我们的缓存实现。我们可以使用 `org.mybatis.spring.SqlSessionFactoryBean` 类来创建 `SqlSessionFactory` 对象,并在其中设置 `Cache` 对象。 ``` @Configuration @MapperScan(basePackages = "com.example.mapper") public class MybatisConfiguration { @Autowired private DataSource dataSource; @Bean public SqlSessionFactory sqlSessionFactory() throws Exception { SqlSessionFactoryBean sessionFactory = new SqlSessionFactoryBean(); sessionFactory.setDataSource(this.dataSource); Configuration configuration = new Configuration(); configuration.addCache(new MybatisCache("com.example.cache.MybatisCache")); sessionFactory.setConfiguration(configuration); return sessionFactory.getObject(); } } ``` 上面的代码中,我们创建了一个 `SqlSessionFactoryBean` 对象,并将其配置为使用我们的 `MybatisCache` 缓存实现。我们还将 `SqlSessionFactoryBean` 与 `DataSource` 对象相关联,并将其返回为 `SqlSessionFactory` 对象。 这就是在 Spring Boot 中实现 MyBatis Cache 接口的简单示例。通过这个示例,我们可以看到如何使用 Spring Boot 和 MyBatis 来轻松地添加缓存功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值