shiro漏洞处理

已于 2022-10-18 23:34:37 修改
阅读量509 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 思路 文章标签: java servlet 开发语言
于 2021-05-19 16:59:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xx897115293/article/details/117036222
本文介绍了一种自动生成“记住我”功能所需的加密秘钥的方法,并提供了一个实用的工具类实现。该方法使用AES算法,通过Java代码随机生成密钥。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 自动生成“记住我”的加密秘钥

	<!-- rememberMe管理器  如需要记住功能 可删掉相关配置  -->
	<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
	    <!-- rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)-->
	    <!--<property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}" />-->
        <!-- 自动生成记住我的加密秘钥 -->
	    <property name="cipherKey" value="#{T(cn.com.autoax.config.GenerateCipherKey).generateNewKey()}" />
	    <property name="cookie" ref="rememberMeCookie" />
	</bean>

秘钥生成工具类

public class GenerateCipherKey {

    /**
     * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)
     * @return
     */
    public static byte[] generateNewKey() {
        KeyGenerator kg;
        try {
            kg = KeyGenerator.getInstance("AES");
        } catch (NoSuchAlgorithmException var5) {
            String msg = "Unable to acquire AES algorithm.  This is required to function.";
            throw new IllegalStateException(msg, var5);
        }

        kg.init(128);
        SecretKey key = kg.generateKey();
        byte[] encoded = key.getEncoded();
        return encoded;
    }

Shiro反序列化漏洞(Shiro-550、Shiro-721)
李火火的安全圈
12-21 7162
0x01 Shiro介绍 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 0x02 Shiro-550 反序列化漏洞 CVE-2016-4437 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cook
shiro漏洞
weixin_43873557的博客
02-06 3645
Shiro概述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。 ➢ Shiro历史漏洞Shiro- - 550) Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 ➢ Shiro历史漏洞Shiro-
Shiro框架漏洞看了你就会了(含靶场复现)网络安全零基础入门到精通实战教程!
白帽阿叁的博客
12-12 1545
CVE-2010-3863是Apache Shiro框架中存在的一个安全漏洞,它允许攻击者通过构造特定的URI请求来绕过身份验证和授权机制,从而访问受限的资源。这个漏洞主要影响Apache Shiro 1.1.0之前的版本以及JSecurity 0.9.x版本。CVE-2016-4437漏洞主要影响Apache Shiro的“rememberMe”功能,该功能允许用户在关闭浏览器后仍然保持会话。当该功能被启用时,Shiro会将用户的会话信息序列化并存储在一个cookie中,以便在用户重新访问时恢复会话。
框架漏洞(2)shiro
最新发布
m0_73399576的博客
05-28 910
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
shiro 漏洞
冯的博客
08-25 312
pache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架 直观、易用,同时也能提供健壮的安全性。 Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击: 1、登录Shiro网站,获取持久化cookie中rememberMe字段的值; 2、通过ysoserial反序列漏洞利用工具生成攻击payload作为plaintext;
Shiro框架漏洞
slismy的博客
09-12 5583
一、Shiro漏洞原理 Apache Shiro框架提供了记住我的功能(RemeberMe),用户登录成功后会生成经过加密并编码的cookie。 cookie的key为RemeberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的 在服务端接收cookie值时,按以下步骤解析: 检索RemeberMe cookie的值 Base 64解码 使用ACE解密(加密密钥硬编码) 进行反序列化操作(未作过滤处理) 在调用反序列化的时候未进行任何过滤,导致
shiro漏洞部分修复方法
web13293720476的博客
08-24 376
在程序内配有java类XssHttpServletRequestWrapperNew适配器,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter)
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
总之,Apache Shiro 的反序列化漏洞是一个严重的问题,需要密切关注和妥善处理。"shiro_attack_by J1anfen" 工具为安全研究人员和系统管理员提供了一种实用的方法来检测和修复这个问题,从而保护系统免受潜在的威胁...
详细shiro漏洞复现及利用方法(CVE-2016-4437)
热门推荐
dreamthe的博客
04-26 3万+
该篇文章比较详细的介绍shiro漏洞利用,无论是shiro漏洞图形化工具利用,还是shiro漏洞结合JRMP我觉得比大多数文章都详细,如果你对网上结合JRMP反弹shell不是很明白,非常推荐来看看这篇文章。另外漏洞利用工程中用到的工具以及代码都上传到百度网盘,供大家使用,在文章最后哦。
shiro反序列化漏洞检测工具,含链接教程
08-17
Shiro框架中,当不安全地处理来自不可信源的反序列化数据时,就可能导致这种漏洞。例如,如果一个应用程序允许用户提交包含序列化对象的数据,而这些对象在Shiro的内部逻辑中被反序列化,那么攻击者可能构造恶意的...
Shiro反序列化漏洞检测工具
01-05
Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro版本时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的...
shiro反序列化漏洞
wutiangui的博客
09-07 3133
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,保证对象的完整性和可传递性;反序列化即逆过程,由字节流还原成对象。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。漏洞影响版本。
Shiro框架漏洞总结
zhuyi666的博客
03-23 8791
Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
漏洞复现】 Shiro 反序列化漏洞
zkaqlaoniao的博客
11-09 3999
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
【渗透测试】Apache Shiro系列漏洞
weixin_53972936的博客
11-01 4063
Apache Shiro框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
一篇文章 介绍 shiro反序列化漏洞
qq_62987084的博客
11-01 1127
shiro反序列化漏洞 原理及复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值