Apache Shiro 是如何产生的?

最新推荐文章于 2021-12-14 21:02:29 发布
原创 最新推荐文章于 2021-12-14 21:02:29 发布 · 3.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #apache #ejb #java #jvm #加密

2003年初,由于缺乏适用于Java应用的全面安全框架,JSecurity项目(后成为Apache Shiro)应运而生。面对JAAS的不足及会话管理和加密方面的挑战,项目旨在提供一个统一的解决方案。

在2008年加入Apache软件基金会之前,Shiro已经5岁了,之前它被称为JSecurity项目,始于2003年初。当时,对于Java 应用开发人员而言,没有太多的通用安全替代方案 - 我们被Java认证/授权服务(或称为JAAS)紧紧套牢了。JAAS有太多的缺点 - 尽管它的认证功能尚可忍受,但授权方面却显得拙劣,用起来令人沮丧。此外,JAAS跟虚拟机层面的安全问题关系非常紧密,如判断JVM中是否允许装入一个 类。作为应用开发者,我更关心应用最终用户能做什么,而不是我的代码在JVM中能做什么。

由于当时正从事应用开发,需要一个干净、容器无关的会话机制。在当时,“这场游戏”中唯一可用的会话是HttpSessions,它需要Web 容器;或是EJB 2.1里的有状态会话Bean,这又要EJB容器。而想要的一个与容器脱钩、可用于任何环境中的会话。

最后就是加密问题。有时,我们需要保证数据安全,但是Java密码架构(JavaCryptography Architecture)让人难以理解,除非你是密码学专家。API里到处都是CheckedException,用起来很麻烦。需要一个干净、开箱即用的解决方案,可以在需要时方便地对数据加密/解密。

于是,纵观2003年初的安全状况,你会很快意识到还没有一个大一统的框架满足所有上述需求。有鉴于此,JSecurity(即之后的Apache Shiro)诞生了。


Apache Shiro
阿里Darker
05-30 1555
Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Appli
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437) 复现
yukinorong的博客
06-29 3461
基础知识 序列化和反序列化 反序列化漏洞原因 在Java反序列化中,会调用被反序列化的readObject方法,当readObject方法书写不当时就会引发漏洞。 反序列化的检测 基础库中隐藏的反序列化漏洞 优秀的Java开发人员一般会按照安全编程规范进行编程,很大程度上减少了反序列化漏洞的产生。并且一些成熟的Java框架比如Spring MVC、Struts2等,都有相应的防范反序列化的机制。如果仅仅是开发失误,可能很少会产生反序列化漏洞,即使产生,其绕过方法、利用方式也较为复杂。但
shiro初体验(现在工作时间紧,以后有时间再仔细整理)
大气的名字
11-11 191
https://blog.youkuaiyun.com/sidanchen/article/details/79496589   https://blog.youkuaiyun.com/albertfly/article/details/79206385
Apache Shiro中文开发文档.pdf
12-06
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情:  验证用户来核实他们的身份  对用户执行访问控制,如:  判断用户是否被分配了一个确定的安全角色  判断用户是否被允许做某事  在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。  在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。  聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。  启用单点登录(SSO)功能。  为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的 API 中。 Shiro 视图在所有应用程序环境下实现这些目标——从最简单的命令行应用程序到最大的企业应用,不强制依赖其 他第三方框架,容器,或应用服务器。当然,该项目的目标是尽可能地融入到这些环境,但它能够在任何环境下立 即可用。
Apache Shiro 简介
Reka's blog ^_^
07-31 707
背景:最近接触的的项目中有shiro,对它一无所知,干什么用的都不知道,还好有网络的存在,让我能在第一时间找到明确的答案。下面简单介绍一下,这是个什么东东。 一、简介      Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,
shiro授权 shiro和企业项目整合开发
Ly
10-14 1061
如果需要本篇博客内容的代码!请到我的博客下载中心去下载: https://download.youkuaiyun.com/download/qq_36125138/10720415 项目运行图: 什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以...
框架、组件漏洞系列4:Apache shiro漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-14 4170
一、Apache Shiro 简介 1、什么是shiro Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。 Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加.
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 475
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
Apache Shiro保护你的应用[转]
weixin_33895475的博客
05-27 354
为什么80%的码农都做不了架构师?>>> ...
shiro开发(一)
Oeljeklaus的博客
03-29 1219
1      课程目标 通过学习本课程掌握权限管理的设计思想及方法,使用Shiro框架完成权限管理功能开发。   1、  理解基于资源的权限管理方法。 2、  掌握权限管理的数据模型。 3、  掌握不使用shiro开发基于url的权限管理方法。 4、  掌握Shiro进行用户认证的常用方法。 5、  掌握Shiro进行授权的常用方法。 6、  掌握Shiro整合企业应用开发的方法。
Shiro】一、Apache Shiro安全框架简介
KevinBrain的博客
04-01 1081
一、Shiro简介 Apache Shiro(发音为“ shee-roh”,日语为“ castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了用于执行以下方面的应用程序安全性API(我喜欢将它们称为应用程序安全性的4个基石): 身份验证-证明用户身份,通常称为用户“登录”。 授权-访问控制 密码术-保护或隐藏数据以防被撬 会话管理-每个用户的时间敏
Shiro简介
xmh_sxh_1314的博客
02-09 1005
之前在工作中有比较快速的学习过Shiro安全框架,但经过一年的荒废,已经不是很熟悉了,通过这个系列,深入研究和学习Shiro的一些知识,填补安全管理方面的知识漏洞。使我们在web 开发领域更具竞争力,不做只会CRUD的程序员! 一、Shiro介绍 Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。ShiroApache 的一个开源项目,前身是JSecurity 项目,始于20...
Apache Shiro简介
MIKE2333的博客
09-30 1064
一. Apache Shiro是什么 Apache Shiro是一个强大、易用的Java安全框架。Apache Shiro的应用场景很广泛,从简单的命令行应用程序、移动App乃至企业级的网站或者应用程序都可以使用。 Shiro从以下四个方面提供API,这四个方面可以被认为是应用程序安全性的四大基石: 验证(Authentication):提供用户验证,也就是所谓的登录 鉴权(Authorization):访问控制 加密(Cryptography):保护数据的安全 会话管理(Session Manageme
shiro安全框架
qq_45744182的博客
07-21 194
1.shiro是什么 shiroapache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。 2.shiro与传统权限的区别 shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限之间的关系。(五表:用户表,角色表,权限...
shiro框架的基本理解
热门推荐
明天
01-19 1万+
1.简介 shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理 从外部来解析shiro框架: Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManage
Shiro】框架所遇到的问题
Shaw的博客
09-11 1608
用户表如下 CREATE TABLE `shiro_user` ( `user_id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(32) NOT NULL, `password` varchar(32) NOT NULL, PRIMARY KEY (`user_id`), KEY `username` (`...
shiro反序列化Payload产生的过程是
最新发布
03-18
<think>嗯,用户想知道Shiro反序列化漏洞中Payload生成的过程,特别是构造方法和原理。首先,我需要回忆一下Shiro反序列化漏洞的基本知识。Shiro在记住我功能中使用加密的序列化数据,而攻击者可能利用弱密钥或已知密钥来构造恶意对象。 首先,Payload生成的关键步骤应该包括反序列化利用链、加密和编码。我记得Shiro550和721的区别,550是已知密钥,而721需要Padding Oracle攻击。用户的问题可能更关注Shiro550的情况,因为这是比较常见的。 接下来,构造Payload的过程大概分为几个阶段:生成恶意对象、序列化、加密(AES-CBC)、Base64编码。需要确保每一步都正确,比如选择正确的利用链,比如CommonsBeanutils或者JRMPClient,然后进行序列化。加密时要注意密钥是否正确,因为如果密钥不正确,Shiro解密会失败,无法触发反序列化。 可能还需要提到加密模式,比如AES-CBC和填充方式,这里可能会有Padding Oracle的问题,特别是在Shiro721中。不过用户的问题可能更侧重于生成Payload的构造方法,所以需要详细说明每一步的具体操作,比如如何用ysoserial生成Gadget,然后使用密钥加密,再进行Base64编码,最后设置到Cookie中。 同时,要引用提供的参考资料,比如引用[2]中的解密过程,以及引用[4]中的密钥碰撞问题。还要注意漏洞的影响版本,比如引用[1]提到的CVE-2022-32532,但用户的问题主要关于反序列化,所以可能需要区分不同的CVE。 最后,要确保回答结构清晰,分步骤解释,并生成相关问题。可能需要检查是否有遗漏的步骤,比如密钥获取的方式,或者不同利用链的选择。另外,要提醒用户实际测试需要合法授权,避免法律问题。</think>### Apache Shiro 反序列化漏洞 Payload 构造方法及原理 #### 一、漏洞背景 Apache Shiro 的反序列化漏洞(如 CVE-2016-4437/Shiro550)源于其“记住我”(RememberMe)功能的加密流程缺陷。攻击者通过构造恶意序列化数据,结合已知密钥或加密模式漏洞,可实现远程代码执行[^1][^2]。 #### 二、Payload 构造核心步骤 1. **利用链选择** 使用反序列化利用链(Gadget Chain)生成恶意对象,例如: - `CommonsBeanutils1`(依赖特定版本库) - `JRMPClient`(利用远程类加载) ```python # 示例:通过ysoserial工具生成Payload java -jar ysoserial.jar CommonsBeanutils1 "命令" > payload.bin ``` 2. **序列化与加密** Shiro 使用 AES-128-CBC 模式对序列化数据加密,需以下步骤: - **序列化**:将恶意对象转换为字节流 - **填充**:按 PKCS5/PKCS7 标准填充至块大小整数倍 - **加密**:使用硬编码或泄露的密钥加密 ```python # 伪代码:AES-CBC加密流程 iv = random(16 bytes) cipher = AES.new(key, AES.MODE_CBC, iv) ciphertext = cipher.encrypt(padded_data) ``` 3. **编码与传输** 加密后的数据通过 Base64 编码后植入 Cookie: ```python rememberMe = base64.b64encode(iv + ciphertext) ``` #### 三、关键原理分析 1. **密钥硬编码问题** Shiro 默认密钥 `kPH+bIxk5D2deZiIxcaaaA==` 公开,攻击者可碰撞其他弱密钥[^4]。 2. **加密模式缺陷** AES-CBC 模式若未正确校验填充,可能被用于 Padding Oracle 攻击(如 Shiro721)[^3]。 3. **反序列化触发点** Shiro 在反序列化前会解密数据并调用 `ObjectInputStream.readObject()`,导致恶意代码执行。 #### 四、防御规避技术 1. **密钥混淆**:利用多个密钥生成 Payload 尝试绕过 2. **流量伪装**:通过合法 Cookie 结构隐藏恶意 Payload 3. **利用链组合**:结合依赖库特性构造无回显攻击链
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

peterwanghao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值