shiro反序列化复
时间: 2023-08-19 18:06:50 浏览: 53
shiro反序列化漏洞是指黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。这种漏洞的产生原因是应用在反序列化过程中没有对输入进行充分的验证和过滤,导致恶意数据被执行。为了防止这种漏洞的利用,可以采取以下几种措施:
1.升级Shiro到最新版本:通过升级Shiro框架到最新版本,可以修复已知的漏洞,并增强反序列化的安全性。
2.使用WAF拦截Cookie中长度过大的rememberMe值:通过Web Application Firewall (WAF)来拦截长度过大的rememberMe值,以防止攻击者构造恶意的序列化数据。
此外,还需要注意Shiro在加解密时使用的AES-CBC模式存在Padding Oracle Attack漏洞,已登录的攻击者同样可以进行反序列化操作。因此,对于Apache Shiro版本低于1.4.2的应用,需要及时升级以修复该漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
- *1* [apache shiro 反序列化漏洞解决方案](https://blog.csdn.net/m0_67393413/article/details/126326029)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"]
- *2* *3* [Shiro反序列化漏洞](https://blog.csdn.net/web15085599741/article/details/124021526)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"]
[ .reference_list ]