shiro反序列化漏洞修复
文章目录
- shiro反序列化漏洞修复
- 前言
- 解决方案
shiro反序列化漏洞修复
前言
最近项目在进行安全漏洞扫描的时候,出现一个shiro的反序列化漏洞的问题:目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒!
解决方案
后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那就好说了,按照源码的方式新写一个秘钥生成器
public class GenerateCipherKey {/*** 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)* @return*/public static byte[] generateNewKey() {KeyGenerator kg;try {kg = KeyGenerator.getInstance("AES");} catch (NoSuchAlgorithmException var5) {String msg = "Unable to acquire AES algorithm. This is required to function.";throw new IllegalStateException(msg, var5);}kg.init(128);SecretKey key = kg.generateKey();byte[] encoded = key.getEncoded();return encoded;}
}
最后在shiro的配置文件里,引用GenerateCipherKey的generateNewKey方法
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager"><property name="cipherKey" value="#{T(com.xxx.xxx.xxx.xxx.GenerateCipherKey).generateNewKey()}"></property><property name="cookie" ref="rememberMe"></property></bean>
参考地址:https://blog.csdn.net/weixin_38307489/article/details/104618667
shiro反序列化漏洞修复相关推荐
- 4加密问题漏洞修复_Apache Shiro 反序列化漏洞实战
Apache Shiro是一个Java安全框架,执行身份验证.授权.密码和会话管理.2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞.尽管该漏洞已经曝光几年,但是在实战中仍然比较实用.花了点 ...
- 实战渗透-Shiro反序列化漏洞实例
0x01.前言 这是一次授权的渗透测试,技术含量不高,但我始终相信,每一次的积累,都是为了成就更好的自己,所以过程简洁,记录下每个知识点.对渗透而言,我更喜欢实战的体验感,那种喜悦和知识的获取感,永远 ...
- shiro反序列化漏洞的原理和复现
一.shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理.Shiro首要的和最重要的目标就是容易使用并且容易理解. 二.shiro的身份认证工作 ...
- shiro反序列化漏洞学习(工具+原理+复现)
工具准备 1.java8 C:\Program Files\Java 2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.6 3.shiro反序列化 图形化工具 ...
- vulhub复现之shiro反序列化漏洞复现
目录 什么是shiro? 什么是安全框架? 反序列化与序列化 shiro反序列化漏洞 怎么判断是否存在反序列化漏洞? 什么是shiro? shiro是功能强大且容易使用的java安全框架.shiro可 ...
- Shiro反序列化漏洞利用笔记
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.目前在Java web应用安全框架中,最热门的产品有Spring Sec ...
- 【漏洞复现】Apache Shiro 反序列化漏洞
Apache Shiro 反序列化漏洞 一.简介 二.环境 三.漏洞原理 四.AES秘钥 1.判断AES秘钥 五.Shiro rememberMe反序列化漏洞(Shiro-550) 1.版本1.4.2 ...
- Apache Shiro 反序列化漏洞 [org.apache.shiro.web.mgt.CookieRememberMeManager]
Apache Shiro 反序列化漏洞 2021-02-06 02:34:09,886 [http-bio-8000-exec-18] WARN [org.apache.shiro.mgt.Defa ...
- 经典的Shiro反序列化漏洞分析
更多黑客技能 公众号:小道黑客 作者:掌控安全-holic 0x01.前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞. ...
最新文章
- matlab 自定义对象,面向对象:MATLAB的自定义类 [MATLAB]
- 厦大AI研究院今日揭牌成立:数学系校友陈纯院士领衔
- 【机器学习入门到精通系列】无监督学习之K-means
- 固态存储作缓存 提升性能有绝招
- ubuntu 下使用KVM安装redhat/winxp
- No overload for 'OnStartup' matches delegate 'System.Windows.StartupEventHandler'
- 突然讨厌做前端,讨厌代码_不要讨厌HATEOAS
- 报名照片审核处理工具_太浦军考|2020年文职人员报名照片审核程序,照片处理工具应该如何使用?...
- 微信小程序实战开发视频
- Ubuntu PIL 安装
- anaconda环境中使用sudo python报错
- VMWare安装Ubuntu 12.04开启虚拟机的Unity Mode模式
- 详解MAC硬盘中各个文件夹
- kubernetes 日志定制查阅 - 排错 -- 好用的命令
- MacFree ePlicy Orchestrator
- Centos7安装hive
- 会议会展活动管理软件可实现哪些功能
- 基于讯飞语音API应用开发之——离线词典构建
- java必记单词_70个学习JAVA必背的英语单词,了解下
- 戴尔服务器重装系统优盘启动不了怎么办,戴尔电脑重装系统识别不了u盘怎么办...
热门文章
- android 机顶盒获取内、外存储目录
- excel一键清除按钮_一键清除Excel过滤器
- 手机拍摄界面的各种符合如何使用-以小米10为例
- java水球游戏_团队趣味游戏-《水球大战》操作说明及注意事项-水上拓展项目-七维卓越...
- kafka幂等性面试题,最新Java高级面试题汇
- 国土空间规划用地图斑GIS数据导入CAD湘源,并按市级国土空间规划制图规范显示
- HTPC知识普及第四讲:解码需软硬兼施2
- 2014年24段魔尺变三叶花视频教程
- 一键提高工作效率,这4款软件是你的工作好帮手
- 干货 | 使用TLA+和PlusCal增强产品的可靠性