Shiro介绍 漏洞分析 漏洞介绍 Shiro为了保存用户的登录信息，将持久化信息序列化、加密后保存在"remeberMe"字段中，而在Shiro<=1.2.4版本中，Shiro进行AES加密使用的KEY硬编码在代码中，攻击者因此可以构造恶意remeberMe Cookie值，触发反序列化漏洞。 触发流程： remeberMe Cookie值…