shiro框架历史漏洞
时间: 2023-09-01 21:07:06 浏览: 116
shiro安全权限框架全程讲解
shiro框架存在的历史漏洞包括反序列化漏洞和权限绕过漏洞。其中,反序列化漏洞是指通过在登录框中输入特定信息触发的漏洞,具体表现为返回的数据包中存在set-Cookie字段的remenberme=deleteme值,这是shiro反序列化漏洞的经典标志。这个漏洞的利用方式是利用shiro和springBoot的验证机制差异化,通过在访问一个无需鉴权的页面后面加上;/一个需要权限的路径,可以绕过shiro的鉴权机制,从而获取未授权的访问权限。类似的权限绕过漏洞还包括在受限目录后面加上空格的情况,shiro在校验时会删除字符串中的空格,导致匹配失败,从而绕过鉴权。与其他shiro权限绕过漏洞类似,这些漏洞都是由于shiro的鉴权机制与spring的鉴权机制不一致导致的。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
- *1* *2* *3* [框架、组件漏洞系列4:Apache shiro漏洞汇总](https://blog.csdn.net/qq_45590334/article/details/121939844)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]
阅读全文