Shiro：ApacheShiro是常见的Java安全框架，执行身份验证、授权、密码和会话管理。历史维度：Shiro1.2.5Shiro>=1.4.2：如果用户使用弱密钥（互联网已公开/已泄露），即使升级至最新版本，仍然存在反序列化漏洞入口。Apacheshiro1.2.4反序列化漏洞(CVE-2016-4437)漏洞成因：ApacheShiro框架提供了记住我的功能（RemeberMe），用户登录成功后会生成经过加密并编码的cookie。Shiro会对cookie中的Rememberme字段进行相关处理：序列化-->AES加密-->base64编码在服务端接收cookie值后，Base64解