一、框架介绍

Apache Shiro是一个强大且易用的Java安全框架（见图1），执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

 

二、漏洞详情

1. 漏洞原理

Apache Shiro框架提供了一个记住密码的功能（见图2），这个功能在用户登录成功之后，会生成一个加密后的cookie。其中记住我的RememberMe就是cookie中的key。cookie的值是对相关信息进过序列化，再进行AES加密，再使用base64编码之后形成的。