shiro硬编码加密传输 漏洞
时间: 2023-08-19 21:10:33 浏览: 168
shiro漏洞检测工具
5星 · 资源好评率100%
Shiro硬编码加密传输漏洞是指在Shiro框架中,加密密钥采用硬编码的方式存储在源代码中,导致攻击者可以通过定位硬编码找到处理流程,从而获取密钥并伪造任意的rememberMe信息,触发反序列化漏洞。\[1\]\[2\]
这个漏洞的主要成因是Shiro框架中使用的AES加密算法的密钥被硬编码在源代码中,当用户勾选remember me功能时,Shiro会将用户的cookie信息序列化并加密存储在Cookie的rememberMe字段中。由于AES加密是对称加密,当攻击者获取了AES密钥后,就可以伪造任意的rememberMe信息,并触发反序列化漏洞。\[2\]
升级Shiro版本并不能根本解决这个漏洞,因为代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。攻击者可以在公开的密钥集合中搜索到并利用这些密钥来进行攻击。\[3\]
为了解决这个漏洞,建议使用动态生成的密钥来替代硬编码的密钥,并确保密钥的安全存储和传输。此外,还可以采用其他更安全的加密算法来增强系统的安全性。
#### 引用[.reference_title]
- *1* *2* [Shiro-550 漏洞分析](https://blog.csdn.net/geejkse_seff/article/details/126496207)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item]
- *3* [shiro漏洞原理以及检测key值原理](https://blog.csdn.net/Thunderclap_/article/details/128930942)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item]
[ .reference_list ]
阅读全文