如何深入理解shiro550反序列漏洞的原理与防范措施?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1935个文字,预计阅读时间需要8分钟。
Shiro550漏洞利用分析Shiro550漏洞原因为Shiro在1.2.4版本中,AES加密算法的key是硬编码在源代码中。
Shiro550shiro550和fastjson作为攻防演练的利器,前面学习了fastjson的相关利用和回显,本篇主要来学习一下shiro550的漏洞原理。
1、漏洞原因在 Shiro <= 1.2.4 中,AES 加密算法的key是硬编码在源码中,当我们勾选remember me 的时候 shiro 会将我们的 cookie 信息序列化并且加密存储在 Cookie 的 rememberMe字段中,这样在下次请求时会读取 Cookie 中的 rememberMe字段并且进行解密然后反序列化,且AES的key 为固定的。
本文共计1935个文字,预计阅读时间需要8分钟。
Shiro550漏洞利用分析Shiro550漏洞原因为Shiro在1.2.4版本中,AES加密算法的key是硬编码在源代码中。
Shiro550shiro550和fastjson作为攻防演练的利器,前面学习了fastjson的相关利用和回显,本篇主要来学习一下shiro550的漏洞原理。
1、漏洞原因在 Shiro <= 1.2.4 中,AES 加密算法的key是硬编码在源码中,当我们勾选remember me 的时候 shiro 会将我们的 cookie 信息序列化并且加密存储在 Cookie 的 rememberMe字段中,这样在下次请求时会读取 Cookie 中的 rememberMe字段并且进行解密然后反序列化,且AES的key 为固定的。