Tcho___的博客

原创 Apache Shiro 1.2.4反序列化漏洞

Apache Shiro 1.2.4反序列化漏洞shiroApache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。shiro提供的rememberMe的功能，登入页面时勾选rememberMe