文章目录

  • shiro反序列化漏洞修复
    • 前言
    • 解决方案

shiro反序列化漏洞修复

前言

最近项目在进行安全漏洞扫描的时候,出现一个shiro的反序列化漏洞的问题:目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒!

解决方案

后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那就好说了,按照源码的方式新写一个秘钥生成器

public class GenerateCipherKey {/*** 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)* @return*/public static byte[] generateNewKey() {KeyGenerator kg;try {kg = KeyGenerator.getInstance("AES");} catch (NoSuchAlgorithmException var5) {String msg = "Unable to acquire AES algorithm.  This is required to function.";throw new IllegalStateException(msg, var5);}kg.init(128);SecretKey key = kg.generateKey();byte[] encoded = key.getEncoded();return encoded;}
}

最后在shiro的配置文件里,引用GenerateCipherKey的generateNewKey方法

<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager"><property name="cipherKey" value="#{T(com.xxx.xxx.xxx.xxx.GenerateCipherKey).generateNewKey()}"></property><property name="cookie" ref="rememberMe"></property></bean>

参考地址:https://blog.csdn.net/weixin_38307489/article/details/104618667

shiro反序列化漏洞修复相关推荐

  1. 4加密问题漏洞修复_Apache Shiro 反序列化漏洞实战

    Apache Shiro是一个Java安全框架,执行身份验证.授权.密码和会话管理.2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞.尽管该漏洞已经曝光几年,但是在实战中仍然比较实用.花了点 ...

  2. 实战渗透-Shiro反序列化漏洞实例

    0x01.前言 这是一次授权的渗透测试,技术含量不高,但我始终相信,每一次的积累,都是为了成就更好的自己,所以过程简洁,记录下每个知识点.对渗透而言,我更喜欢实战的体验感,那种喜悦和知识的获取感,永远 ...

  3. shiro反序列化漏洞的原理和复现

    一.shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理.Shiro首要的和最重要的目标就是容易使用并且容易理解. 二.shiro的身份认证工作 ...

  4. shiro反序列化漏洞学习(工具+原理+复现)

    工具准备 1.java8 C:\Program Files\Java 2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.6 3.shiro反序列化 图形化工具 ...

  5. vulhub复现之shiro反序列化漏洞复现

    目录 什么是shiro? 什么是安全框架? 反序列化与序列化 shiro反序列化漏洞 怎么判断是否存在反序列化漏洞? 什么是shiro? shiro是功能强大且容易使用的java安全框架.shiro可 ...

  6. Shiro反序列化漏洞利用笔记

    Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.目前在Java web应用安全框架中,最热门的产品有Spring Sec ...

  7. 【漏洞复现】Apache Shiro 反序列化漏洞

    Apache Shiro 反序列化漏洞 一.简介 二.环境 三.漏洞原理 四.AES秘钥 1.判断AES秘钥 五.Shiro rememberMe反序列化漏洞(Shiro-550) 1.版本1.4.2 ...

  8. Apache Shiro 反序列化漏洞 [org.apache.shiro.web.mgt.CookieRememberMeManager]

    Apache Shiro 反序列化漏洞 2021-02-06 02:34:09,886 [http-bio-8000-exec-18] WARN  [org.apache.shiro.mgt.Defa ...

  9. 经典的Shiro反序列化漏洞分析

    更多黑客技能 公众号:小道黑客 作者:掌控安全-holic 0x01.前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞. ...

最新文章

  1. matlab 自定义对象,面向对象:MATLAB的自定义类 [MATLAB]
  2. 厦大AI研究院今日揭牌成立:数学系校友陈纯院士领衔
  3. 【机器学习入门到精通系列】无监督学习之K-means
  4. 固态存储作缓存 提升性能有绝招
  5. ubuntu 下使用KVM安装redhat/winxp
  6. No overload for 'OnStartup' matches delegate 'System.Windows.StartupEventHandler'
  7. 突然讨厌做前端,讨厌代码_不要讨厌HATEOAS
  8. 报名照片审核处理工具_太浦军考|2020年文职人员报名照片审核程序,照片处理工具应该如何使用?...
  9. 微信小程序实战开发视频
  10. Ubuntu PIL 安装
  11. anaconda环境中使用sudo python报错
  12. VMWare安装Ubuntu 12.04开启虚拟机的Unity Mode模式
  13. 详解MAC硬盘中各个文件夹
  14. kubernetes 日志定制查阅 - 排错 -- 好用的命令
  15. MacFree ePlicy Orchestrator
  16. Centos7安装hive
  17. 会议会展活动管理软件可实现哪些功能
  18. 基于讯飞语音API应用开发之——离线词典构建
  19. java必记单词_70个学习JAVA必背的英语单词,了解下
  20. 戴尔服务器重装系统优盘启动不了怎么办,戴尔电脑重装系统识别不了u盘怎么办...

热门文章

  1. android 机顶盒获取内、外存储目录
  2. excel一键清除按钮_一键清除Excel过滤器
  3. 手机拍摄界面的各种符合如何使用-以小米10为例
  4. java水球游戏_团队趣味游戏-《水球大战》操作说明及注意事项-水上拓展项目-七维卓越...
  5. kafka幂等性面试题,最新Java高级面试题汇
  6. 国土空间规划用地图斑GIS数据导入CAD湘源,并按市级国土空间规划制图规范显示
  7. HTPC知识普及第四讲:解码需软硬兼施2
  8. 2014年24段魔尺变三叶花视频教程
  9. 一键提高工作效率,这4款软件是你的工作好帮手
  10. 干货 | 使用TLA+和PlusCal增强产品的可靠性