shiro漏洞部分修复方法

最新推荐文章于 2025-05-28 17:34:46 发布
最新推荐文章于 2025-05-28 17:34:46 发布
阅读量2.9k 收藏
点赞数 2
CC 4.0 BY-SA版权
文章标签: 安全 web安全 shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ghx123456ghx/article/details/121951346
本文详细介绍了如何解决Shiro框架的反序列化漏洞,通过参考提供的博客链接,可以了解到具体的解决方案。同时,针对XSS攻击,文章提出了使用XssHttpServletRequestWrapperNew适配器进行防御,并提醒检查泰安系统的相关类,如未包含此类,则需添加并更新相关类以增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.shiro反序列化漏洞解决方案:
https://blog.youkuaiyun.com/ying_521125/article/details/109893850
2.Xss漏洞攻击:
在程序内配有java类XssHttpServletRequestWrapperNew适配器,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter)

ghx123456ghx
关注
Apache Shiro 1.4.2 授权问题漏洞修复(CVE-2020-1957)
笑而不语的博客
11-04 3377
shiro 版本漏洞修复shiro 1.6.0 版本发布下载地址修复方法问题 shiro 1.6.0 版本发布 Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://lists.apache.org/thread.html/rc64fb2336683feff3580c3c3a8b28e80525077621089641f2f386b63@%3Ccommits.camel.apache.org%3E 下载地址 1、官网下载地址:ht
shiro反序列化漏洞分析、模拟攻击及修复(三)
热门推荐
婷子的博客
03-02 2万+
Shiro反序列化漏洞修复 上篇进行了shiro反序列化漏洞的模拟攻击,进行攻击后,由于很多时候我们的系统采用了shiro框架,因此需要对现有系统进行漏洞修复,下面针对不同类型的系统提出了不同的修复方案。 1、漏洞修复分析及方案 反序列化漏洞成因: rememberMe功能的AES密钥硬编码在代码中,造成密钥泄露。使得恶意攻击者可以利用系统在用户登录并勾选了“记住我”时所生成cookie的...
框架漏洞(2)shiro
最新发布
m0_73399576的博客
05-28 901
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
shiro反序列化漏洞修复
m0_67394360的博客
03-28 949
文章目录 shiro反序列化漏洞修复 前言 解决方案 shiro反序列化漏洞修复 前言 最近项目在进行安全漏洞扫描的时候,出现一个shiro的反序列化漏洞的问题:目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 解决方案 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那就好说了,按照源码的方式新写一个秘钥生成器 pu
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5864
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
Shiro框架漏洞复现(附修复方法
C233333235的博客
08-07 1005
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。在Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。其Cookie的Key的值为RememberMe,Value的值是经过序列化、AES加密和Base64编码后得到的结果。
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 3112
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
Shiro反序列化漏洞检测及修复(工具分享)
weixin_46418540的博客
10-12 1万+
写在前面 这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。 我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 在此特别感谢其作者 feihong飞鸿。 下载地址 https://github.com/feihong-cs/S
shrio反序列漏洞修复_Shiro RememberMe 1.2.4 反序列化漏洞详细复现
weixin_33603377的博客
01-17 1338
目前已出图形化界面工具,一键即可检测和getshell工具地址:https://github.com/feihong-cs/ShiroExploit使用案例:分割线(以上内容为最新更新内容)—————————————————————————————————————————————————————————————————————————————————————————————————————————...
Shiro反序列问题修复
weixin_38277138的博客
05-15 2508
Shiro反序列问题修复
漏洞复现】 Shiro 反序列化漏洞
zkaqlaoniao的博客
11-09 3993
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
Shiro框架漏洞分析与复现
m0_59598029的博客
04-18 5714
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
shrio反序列漏洞修复_shiro 反序列化漏洞解决方案总结
weixin_30677191的博客
01-17 2917
最近给做了一个项目,昨天被检测出shiro反序列化漏洞,一脸懵逼,连夜加班抢修,好在已经有很多前辈已经碰到过这个问题,给出了解决方案,这里我在记录一下,作为这次事故的总结,也可以为后来的人提供快捷的解决思路。网上比较多的说到shiro 1.2.4之前的版本就存在反序列漏洞,上面贴出前两篇文章都详细的给出了导致漏洞的原因以及复现的过程,我这里就不在赘述,总结下来就是shiro的“记住我”的功能用到了...
shiro反序列化漏洞的原理和复现
顺其自然~专栏
03-09 869
Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值