在網路資訊管理部門的一次清查中,系統被測出存在shiro反序列化漏洞,如圖一。
當時shiro的版本為1.2.2,按照網上所說的,執行穩定的專案可以通過在配置檔案的securitymanager中配置rememberme,並寫乙個1.2.5及以上版本中解決shiro漏洞的類來修復漏洞,具體**如下:
配置:
//類public class generatecipherkey catch (nosuchalgorithmexception var5)
kg.init(128);
secretkey key = kg.generatekey();
byte encoded = key.getencoded();
return encoded;}}
這麼寫了之後,系統漏洞非但沒有解決,啟動也失敗了。折騰到最後,使用了最粗暴的方法,直接替換更高版本的jar包【1.2.5】,結果漏洞修復了,檢測結果如圖二,也是很迷【這種方法一般運用在專案初期,上線之前】。
所以說,網上的說法有時候要自己去驗證,並非照搬。
檢測漏洞的工具位址為:
PHP反序列化漏洞
序列化簡單利用 serialize 序列化 使用函式serialize 可將例項序列化為字串 unserialize 反序列化 使用函式unserialize 可將序列化的字串還原 示例 class example unserialize get code 漏洞利用 構造漏洞利用的 儲存為test....
PHP反序列化漏洞
前幾天安恆月賽兩道web題中有一道題是關於php反序列化的,然後剛好前幾天剛好看過這個知識點,於是乎這次比賽才沒有爆零,總算是寫出來了一道題 doge 所有php裡面的值都可以使用函式serialize 來返回乙個包含位元組流的字串來表示。unserialize 函式能夠重新把字串變回php原來的值...
Apacche Dubbo 反序列化漏洞
早在2019年開發者社群就有談到這個 http 協議漏洞問題,近期360靈騰安全實驗室判斷漏洞等級為高,利用難度低,威脅程度高。建議公升級 dubbo 版本,避免遭受黑客攻擊。漏洞描述 簡單的說,就是http remoting 開啟的時候,存在反序列化漏洞。apache dubbo在接受來自消費者的...