Spring Apache Shiro 默认密钥致命令执行漏洞及解决方案_远程代码执行[web攻击]检测到shiro默认密钥通信

作者：我家自动化 | 2024-05-14 22:25:51

踩

远程代码执行[web攻击]检测到shiro默认密钥通信

最近阿里云发了漏洞短信，需要在以后的老项目中修复漏洞，不同项目修复方式有所不同

漏洞检测工具
下载地址：https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip
如图：

OK，检测下漏洞：

这样，我们看到了，检测到了使用默认的shiro密钥

解决方案：
每个项目的情况都可能不一样，所以有不同的解决办法。
现象：
使用的是springmvc，shiro1.2.4，spring 4.2.5

shiro默认的安全管理器使用了默认的shiro密钥，即使项目中开发者不配置，那么shiro也会加载。
既然开发人员没有配置，那么我们就配置下。

创建一个密钥生成的类

配置中使用

需要注意
在阿里云给的建议中，需要升级shiro版本1.7，但是此版本需要升级spring，这块可能会出现修改其他一些功能和代码问题。
所以，在此，我们不升级shiro，还是用老版本，只是增加密钥的管理方式，不再用默认密钥即可

修改后检测

至此，问题解决，希望对看见的开发者有帮助。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/我家自动化/article/detail/570354