-
shiro反序列化漏洞(CVE-2016-4437)
漏洞原因
Apache Shiro默认使用了CookieRememberMeManager。其处理cookie的流程是:
得到rememberMe的cookie值;Base64解码;AES解密;反序列化。
然而AES的密钥是硬编码的,即AES加解密的密钥是写死在代码中的,攻击者可以构造恶意数据造成反序列化漏洞。
影响版本
Apache Shiro <= 1.2.4
漏洞复现
https://github.com/j1anFen/shiro_attack/releases/tag/2.2
-
相关阅读:
muduo源码剖析之SocketOps类
C++原子变量
ssFPN学习笔记
【算子1】spark(三):spark core:trans算子中value类型的算子使用说明
iNFTnews | NFT或将彻底改变音乐产业
记一次调试YOLOv5+DeepSort车辆跟踪项目的经过
垃圾收集器与内存分配策略
网络安全(黑客)——2024自学
正雅:你的隐形矫正方案选对了吗?
使用libmodbus库开发modbusTcp从站(支持多个主站连接)
- 原文地址:https://blog.csdn.net/m0_49025459/article/details/128204729