2022 年 12 月

月度归档： 2022 年 12 月

2 篇文章

三十八年过去，弹指一挥间。

Shiro-721反序列化漏洞

2022-12-29 21:02

260

代码审计

2103 字

12 分钟

环境搭建下载源码从链接https://codeload.github.com/apache/shiro/zip/shiro-root-1.4.1下载使用git下载 git clone https://github.com/apache/shiro.git git checkout shiro-root-1.2.4 构建war包进入下载的源码…

Shiro-550反序列化漏洞

2022-12-10 20:21

301

代码审计

519 字

3 分钟

Shiro介绍漏洞分析漏洞介绍 Shiro为了保存用户的登录信息，将持久化信息序列化、加密后保存在"remeberMe"字段中，而在Shiro<=1.2.4版本中，Shiro进行AES加密使用的KEY硬编码在代码中，攻击者因此可以构造恶意remeberMe Cookie值，触发反序列化漏洞。触发流程： remeberMe Cookie值…

Shiro

一	二	三	四	五	六	日
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31