2022年04月02日
在Shiro反序列化漏洞修补的历程中,假如仅开展Shiro的版本更新,而沒有再次转化成密钥,那麼AES数据加密的默认设置密钥扔硬编码在源代码里,依然会存有反序列化风险性。
01、漏洞实例
本案例引入的shiro版本已经是现阶段全新的1.8.0。试着浏览系统软件开展登陆,抓包软件获得主要参数特点,包括xxx_rememberMe=deleteMe字段名。
留意:在Shiro1.4.2版本后,Shiro的数据加密方式由AES-CBC拆换为 AES-GCM,Shiro高版本下的漏洞利用,就必须考