赞
踩
Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookierememberMe字段内容分别进行序列化、AES加密、Base64编码操作。但是,AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能漏洞描述拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。
有两种修改方式。
第一种:修改shiro配置文件,修改内容为
1 2 3 4 5 6 7 8 9 10 |
|
qQFtSnnj/sx7vu51ixAyEQ== 这个是生成AES密钥
生成方式参照:https://www.cnblogs.com/pxblog/p/12485832.html
第二种;替换项目中shiro jar包,替换成1.2.6版本
下载地址:https://yvioo.lanzous.com/b00nueaib
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。