Apache Shiro RememberMe 命令執(zhí)行漏洞修復(fù)
點(diǎn)擊上方“IT那活兒”公眾號,關(guān)注后了解更多內(nèi)容�,不管IT什么活兒,干就完了?����。�。?/strong>
Apache Shiro是用戶執(zhí)行認(rèn)證����、授權(quán)、加密和會話管理的Java安全框架���。Apache Shiro<=1.2.4存在Java反序列化漏洞����。遠(yuǎn)程攻擊者通過構(gòu)造的請求,利用此漏洞遠(yuǎn)程執(zhí)行任意代碼����。本地某系統(tǒng)使用了Apache Shiro,Shiro 提供了記住我(RememberMe)的功能����,下次訪問時(shí)無需再登錄即可訪問。系統(tǒng)將密鑰硬編碼在代碼里�����,且在官方文檔中并沒有強(qiáng)調(diào)修改該密鑰��,導(dǎo)致使用者大多數(shù)都使用了默認(rèn)密鑰����。
攻擊者可以構(gòu)造一個(gè)惡意的對象,并且對其序列化����、AES加密�、base64編碼后�,作為cookie的rememberMe字段發(fā)送�。Shiro將rememberMe進(jìn)行解密并且反序列化,最終造成反序列化漏洞���,進(jìn)而在目標(biāo)機(jī)器上執(zhí)行任意命令�。
檢查Shiro配置文件ShiroConfig.java 是否包含上面提到的默認(rèn)秘鑰 fCq+/xW488hMTCD+cmJ3aQ==��,如果是使用的默認(rèn)密鑰則需要修改����,防止被執(zhí)行命令攻擊。- 重新生成一個(gè)新的秘鑰�����,保證唯一且不要泄漏��。
// 直接拷貝到main運(yùn)行即可生成一個(gè)Base64唯一字符串�。KeyGenerator keygen = KeyGenerator.getInstance("AES");
SecretKey deskey = keygen.generateKey();
System.out.println(Base64.encodeToString(deskey.getEncoded()));
替換掉cipherKey的默認(rèn)秘鑰���。本文作者:孫濤濤(上海新炬王翦團(tuán)隊(duì))
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/129152.html
