一、一样的利用过程🍺ApacheShiro框架进行登录,服务端在接收cookie时,会经过下面的流程:1、检索RememberMeCookie的值2、Base64解码3、AES解密(加密密钥硬编码)4、进行反序列化操作(未过滤处理)5、攻击者可以使用Shiro的默认密钥构造恶意序列化对象进行编码来伪造用户的Cookie,服务端反序列化时触发漏洞,从而执行命令二、主要区别🍺1、这两个漏洞主要区别在于Shiro550使用已知密钥碰撞,只要有足够密钥库(条件较低),不需要RememberCookie2、Shiro721的ase加密的key基本猜不到,系统随机生成,可使用登录后rememberMe去爆
✅作者简介:2022年博客新星第八。热爱国学的Java后端开发者,修心和技术同步精进。🍎个人主页:JavaFans的博客🍊个人信条:不迁怒,不贰过。小知识,大智慧。💞当前专栏:SpringBoot框架从入门到精通✨特色专栏:国学周更-心性养成之路🥭本文内容:Shiro整合SpringBoot项目实战文章目录6.0整合思路6.1创建springboot项目6.2引入shiro依赖6.3配置shiro环境0.创建配置类1.配置shiroFilterFactoryBean2.配置WebSecurityManager3.创建和配置自定义realm4.编写主页面index.jsp5.启动项目,访问ind
✅作者简介:2022年博客新星第八。热爱国学的Java后端开发者,修心和技术同步精进。🍎个人主页:JavaFans的博客🍊个人信条:不迁怒,不贰过。小知识,大智慧。💞当前专栏:SpringBoot框架从入门到精通✨特色专栏:国学周更-心性养成之路🥭本文内容:Shiro整合SpringBoot项目实战文章目录6.0整合思路6.1创建springboot项目6.2引入shiro依赖6.3配置shiro环境0.创建配置类1.配置shiroFilterFactoryBean2.配置WebSecurityManager3.创建和配置自定义realm4.编写主页面index.jsp5.启动项目,访问ind
废话不多说,咱们直接接上回上一篇我们讲了如何使用Springboot框架整合Nosql,并于文章最后部分引入了服务端Session的概念而早在上上一篇中,我们则已经讲到了如何使用Springboot框架整合Mybatis/MybatisPlus实现业务数据的持久化(写入数据库)本篇我们把关注点放在一个于这两部分有共同交集的内容——安全管理,并且引入我们今天的主角——Shiro框架ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。——来
废话不多说,咱们直接接上回上一篇我们讲了如何使用Springboot框架整合Nosql,并于文章最后部分引入了服务端Session的概念而早在上上一篇中,我们则已经讲到了如何使用Springboot框架整合Mybatis/MybatisPlus实现业务数据的持久化(写入数据库)本篇我们把关注点放在一个于这两部分有共同交集的内容——安全管理,并且引入我们今天的主角——Shiro框架ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。——来
1.认识shiro 除SpringSecurity安全框架外,应用非常广泛的就是Apache的强大又灵活的开源安全框架Shiro,在国内使用量远远超过SpringSecurity。它能够用于身份验证、授权、加密和会话管理,有易于理解的API,可以快速、轻松地构建任何应用程序。而且大部分人觉得从Shiro入门要比SpringSecurity简单。 1.1认识Shiro的核心组件Shiro有如下核心组件。Subject:代表当前“用户”。与当前应用程序交互的任何东西都是Subject,如爬虫、机器人、所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给
1.认识shiro 除SpringSecurity安全框架外,应用非常广泛的就是Apache的强大又灵活的开源安全框架Shiro,在国内使用量远远超过SpringSecurity。它能够用于身份验证、授权、加密和会话管理,有易于理解的API,可以快速、轻松地构建任何应用程序。而且大部分人觉得从Shiro入门要比SpringSecurity简单。 1.1认识Shiro的核心组件Shiro有如下核心组件。Subject:代表当前“用户”。与当前应用程序交互的任何东西都是Subject,如爬虫、机器人、所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给
1、Durid1.1简介Java程序很大一部分要操作数据库,为了提高性能操作数据库的时候,又不得不使用数据库连接池。Druid是阿里巴巴开源平台上一个数据库连接池实现,结合了C3P0、DBCP等DB池的优点,同时加入了日志监控。Druid可以很好的监控DB池连接和SQL的执行情况,天生就是针对监控而生的DB连接池。Druid已经在阿里巴巴部署了超过600个应用,经过一年多生产环境大规模部署的严苛考验。SpringBoot2.0以上默认使用Hikari数据源,可以说Hikari与Driud都是当前JavaWeb上最优秀的数据源,我们来重点介绍SpringBoot如何集成Druid数据源,如何实现
1、Durid1.1简介Java程序很大一部分要操作数据库,为了提高性能操作数据库的时候,又不得不使用数据库连接池。Druid是阿里巴巴开源平台上一个数据库连接池实现,结合了C3P0、DBCP等DB池的优点,同时加入了日志监控。Druid可以很好的监控DB池连接和SQL的执行情况,天生就是针对监控而生的DB连接池。Druid已经在阿里巴巴部署了超过600个应用,经过一年多生产环境大规模部署的严苛考验。SpringBoot2.0以上默认使用Hikari数据源,可以说Hikari与Driud都是当前JavaWeb上最优秀的数据源,我们来重点介绍SpringBoot如何集成Druid数据源,如何实现
项目是借用一个开源项目,然后被发现有shiro反序列化漏洞,如下图: 有了以上漏洞,就可以在服务器执行任意指令。如下图: 解决过程:1、升级shiro到最新版本1.9.1,却发现还是可以挂马;2、查开源代码,发现代码里面有指定密钥(可能是早期版本的shiro需要吧),如下:cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));删除后,改成随机密钥。3、用shiro反序列化漏洞工具扫描,已经无法直接挂马,但还是有两点,可以扫描发现shiro框架,可以爆力穷举密钥。如下图: 当然16字
