shiro反序列化漏洞_shiro反序列化漏洞拿到的是什么权限

漏洞原理

Apache Shiro是一个流行的安全框架，用于Java应用程序的身份验证、授权和会话管理。在Shiro中，用户的身份认证和授权信息被序列化并存储在cookie或其他客户端存储中。如果攻击者能够通过网络传输或其他方式修改序列化的对象，就可能导致Shiro反序列化漏洞.#shiro版本小于1.4.2。

危害

Shiro的反序列化漏洞可能导致攻击者执行任意代码或者提升权限。攻击者可以构造一个恶意的序列化对象，并将其传输到服务器上。当服务器尝试反序列化这个对象时，攻击者可以利用漏洞在服务器上执行任意的命令。

防御

为了防止Shiro反序列化漏洞，我们应该升级到最新版本，尽可能避免使用不受信任的序列化数据，对序列化数据进行输入校验和过滤，同时也应该限制Shiro的运行权限。另外，定期进行安全审计，以及及时更新漏洞修复补丁，能够有效的提高系统的安全性。

Shiro-550

影响版本：Apache shiro<1.2.4

Apache Shiro框架提供了记住我的功能（RememberMe），用户登陆成功后会生成经过加密并编码的cookie，在服务端接收cookie值后进行Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥，就可以构造一个恶意对象，对其进行序列化–>AES加密–>Base64编码，然后将其作为cookie的rememberMe字段发送，Shiro将rememberMe进行解密并且反序列化，最终造成反序列化漏洞。

Shiro-721

影响版本：Apache shiro<1.4.2

由于Apache Shiro cookie中通过AES-128-CBC模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。

CBC加密

CBC主要是引入一个初始化向量来加强密文的随机性，保证相同明文通过相同的密钥加密的结果不一样。