shiro
关注
分享
扫一扫
言玉gz
这个作者很懒,什么都没留下…
展开
-
Shrio解析Session过程
第一次使用SecurityUtils.getSubject()来获取Subject时 public static Subject getSubject() { Subject subject = ThreadContext.getSubject(); if (subject == null) { subject = (new Su...原创 2018-11-15 16:50:24 · 885 阅读 · 1 评论 -
Shiro默认拦截器
默认拦截器名 拦截器类 说明(括号里的表示默认值) 身份验证相关的 authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter 基于表单的拦截器;如 “/**=authc”,如果没有登录会跳到相应的登录页面登录;主要属性:usernameParam:表单提交的用户名参数名( username); pas...原创 2018-11-15 17:19:42 · 553 阅读 · 0 评论 -
安全
越权修改 Cookie、Session、Token、认证、授权的关系 表单重复提交 1. 越权修改 1.1 场景 在进行渗透测试的时候,发现了一个越权修改用户密码的例子 在修改密码页面抓包,替换成其他用户的id且用户密码相同的情况下,便可以成功修改该用户密码。由于服务端只将用户的id和旧密码进行了匹配,所以攻击者可以收集大量用户名后,对使用了某些相同弱密码的用户进行批量修改密码 例如: 我们数...原创 2018-11-28 18:29:46 · 669 阅读 · 0 评论