Spring Boot项目Shiro1.7.1版本默认密钥的漏洞

原创 已于 2022-09-21 18:45:23 修改 · 3.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #Shiro #java

于 2022-09-06 09:30:18 首次发布
本文介绍了Apache Shiro框架中RememberMe功能的密钥管理,包括默认密钥的使用和如何生成新的密钥。通过示例代码展示了如何在配置中替换默认密钥以及如何实现密钥的动态生成,确保安全性。

1.Shiro1.7.1默认密钥


public CookieRememberMeManager rememberMeManager(){
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));
        return cookieRememberMeManager;
    }

2.重新生成新的密钥

  
  public static void main(String[] args) throws Exception {
        
        KeyGenerator keygen = KeyGenerator.getInstance("AES");
        SecretKey deskey = keygen.generateKey();
        System.out.println(Base64.encodeToString(deskey.getEncoded()));

    }

用新生成的密钥替换原来的密钥即可。

3.或者直接换成动态密钥


 public CookieRememberMeManager rememberMeManager()
    {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey(Base64.decode(generateNewKey()));
        return cookieRememberMeManager;
    }

    public static String generateNewKey() {
        try {
            KeyGenerator keygen = KeyGenerator.getInstance("AES");
            SecretKey deskey = keygen.generateKey();
            return Base64.encodeToString(deskey.getEncoded());
        }catch (Exception e){
            e.printStackTrace();
            return "7Iqlf6Ql/A4h7Umjw+254w==";
        }
    }

Shiro反序列化漏洞利用笔记
文公子的博客
12-11 800
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache S
Shiro反序列化漏洞(CVE-2016-4437)+docker靶场+工具利用
weixin_46411728的博客
07-16 3087
shiro_attack_2.2
vulhub漏洞复现 Apache Shiro 1.2.4反序列化漏洞 Apache Shiro 认证绕过漏洞
记录笔记
04-13 1558
vulhub漏洞复现 Apache Shiro 1.2.4反序列化漏洞 Apache Shiro 认证绕过漏洞 shiro反序列化漏洞有何特征?如何防御shiro反序列化漏洞 Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化–>AES加密–>Base64编
shiro1.6.0升级到1.7.1版本,请求路径中带有中文接口报400
weixin_43779793的博客
07-22 1616
shiro1.6升级到1.7,请求路径中有中文接口报400
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
Apache Shiro 默认密钥致命令执行漏洞
Loveme_CN的博客
11-18 5801
Apache Shiro 默认密钥致命令执行漏洞1漏洞描述:2、漏洞特征:3、修复建议:4、修复过程JAR包升级修复RemberMe功能 今天登录服务器上面提示有漏洞提示:Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)【远程扫描】,接下来吾爱编程为大家介绍一下Apache Shiro 默认密钥致命令执行漏洞的修复方法,有需要的小伙伴可以参考一下 1漏洞描述: Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、
精选资源
shiro1.7.1全包修补漏洞.rar
07-18
这个"shiro1.7.1全包修补漏洞.rar"文件包含了针对Apache Shiro 1.7.1版本的一些安全修复和更新,旨在解决可能存在的安全漏洞1. **Shiro-aspectj-1.7.1.jar**: 这个JAR文件是Shiro的AspectJ支持模块,它允许...
框架、组件漏洞系列4:Apache shiro漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-14 4172
一、Apache Shiro 简介 1、什么是shiro Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。 Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加.
Spring BootShiro教程-RememberMe功能实现
## 1.1 Spring BootShiro简介 Spring Boot 是一个基于 Spring 的轻量级框架,用于快速搭建基于 Spring 的应用程序。它简化了基于 Spring 的应用程序的搭建过程,提供了一种快速、便捷的方式来构建应用程序。 ...
Spring BootShiro教程-JWT和无状态认证
它采用约定大于配置的理念,能够帮助开发者快速搭建基于Spring项目,简化配置,并且内嵌了常用的服务器,如Tomcat、Jetty等,使得应用程序可以独立运行。 ## 1.2 什么是Shiro Shiro是一个强大且易用的Java安全...
整合SpringBoot+Shiro+Redis之完整案例,包括重写cache、cacheManager、SessionDAO
zkcJava的博客
09-08 1933
一个简单的ShiroDemo一、创建springboot工程,导入依赖二、yml文件配置三、根据MP插件生成mapper,entity,service,impl,mapper.xml3.1 User类1. User实体2. UserService3. UserServiceImpl4. UserMapper5. UserMapper.xml3.2 Role类1. Role实体2. RoleService3. RoleServiceImpl4. RoleMapper5. RoleMapper.xml3.3 P
Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 3442
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1397
使用shiro默认密钥的隐患
Spring Apache Shiro 默认密钥致命令执行漏洞及解决方案
liqiang_8257的博客
04-08 5402
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同 漏洞检测工具 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 如图: OK,检测下漏洞: 这样,我们看到了,检测到了使用默认shiro密钥 解决方案: 每个项目的情况都可能不一样,所以有不同的解决办法。 现象: 使用的是springmvc,shiro1.2.4,spring 4.2.5 shiro默认安全管理器使用了默认的shi
Spring Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)问题解决
北巷东东的专栏
11-19 3854
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同,特写此篇博客记录。 先说下,我们老项目用的shiro版本号是1.2.4,对应spring版本为4.x 漏洞 漏洞详细报告 OK,我们了解到报告的具体内容了,那接下来,我们分析下怎么修复 漏洞检测工具 下载地址和使用说明: https://github.com/wyzxxz/shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 下载下来是这样
Apache Shiro _= 1.2.4 默认密钥导致命令执行漏洞(CVE-2016-4437)
qq_69432323的博客
07-23 575
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5649
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
Apache Shiro 默认密钥致命令执行漏洞复现
Je3Z的博客
07-03 1152
emmmmmmmmm…怎么开头。。。。。。。。。。。 大师傅出了个题,就直接用题打shiro复现一下这个漏洞吧,嘻嘻 借用大师傅的话 shiro反序列化原理就是用shiro密钥默认不变,我们能拿它密钥去AES加密序列化数据,然后在它Cookie的rememberMe字段反序列化来RCE的 Shiro框架存在默认密钥:kPH+bIxk5D2deZiIxcaaaA== java -jar shiro_attack-2.0.jar 利用链和回显方式都用第一个,然后检测当前利用链。(上图回显则为可用的) 然
Shiro】Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5594
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)的解决方案
如何在 Spring Boot 中修改Shiro默认密钥
最新发布
06-25
Spring Boot 项目中,可以通过配置 `CookieRememberMeManager` 来设置自定义的加密密钥。具体做法是在 Shiro 的配置类中注入一个 `CookieRememberMeManager` 实例,并通过 `setCipherKey` 方法指定非默认密钥...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值