Apache Shiro RememberMe 命令執(zhí)行漏洞修復(fù)
點(diǎn)擊上方“IT那活兒”公眾號(hào)�����,關(guān)注后了解更多內(nèi)容���,不管IT什么活兒�����,干就完了?����。����?�!
Apache Shiro是用戶(hù)執(zhí)行認(rèn)證���、授權(quán)�、加密和會(huì)話(huà)管理的Java安全框架����。Apache Shiro<=1.2.4存在Java反序列化漏洞。遠(yuǎn)程攻擊者通過(guò)構(gòu)造的請(qǐng)求�,利用此漏洞遠(yuǎn)程執(zhí)行任意代碼。本地某系統(tǒng)使用了Apache Shiro��,Shiro 提供了記住我(RememberMe)的功能���,下次訪(fǎng)問(wèn)時(shí)無(wú)需再登錄即可訪(fǎng)問(wèn)�。系統(tǒng)將密鑰硬編碼在代碼里�,且在官方文檔中并沒(méi)有強(qiáng)調(diào)修改該密鑰,導(dǎo)致使用者大多數(shù)都使用了默認(rèn)密鑰�。
攻擊者可以構(gòu)造一個(gè)惡意的對(duì)象,并且對(duì)其序列化��、AES加密��、base64編碼后����,作為cookie的rememberMe字段發(fā)送����。Shiro將rememberMe進(jìn)行解密并且反序列化���,最終造成反序列化漏洞�,進(jìn)而在目標(biāo)機(jī)器上執(zhí)行任意命令���。
檢查Shiro配置文件ShiroConfig.java 是否包含上面提到的默認(rèn)秘鑰 fCq+/xW488hMTCD+cmJ3aQ==��,如果是使用的默認(rèn)密鑰則需要修改����,防止被執(zhí)行命令攻擊�����。- 重新生成一個(gè)新的秘鑰,保證唯一且不要泄漏��。
// 直接拷貝到main運(yùn)行即可生成一個(gè)Base64唯一字符串��。KeyGenerator keygen = KeyGenerator.getInstance("AES");
SecretKey deskey = keygen.generateKey();
System.out.println(Base64.encodeToString(deskey.getEncoded()));
本文作者:孫濤濤(上海新炬王翦團(tuán)隊(duì))
本文來(lái)源:“IT那活兒”公眾號(hào)
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/129152.html
