【文件属性】：
文件名称：Shiro反序列化漏洞，Shiro版本升级资源
文件大小：479KB
文件格式：RAR
更新时间：2022-06-22 09:31:44
Shiro Shiro升级 Shiro漏洞 反序列化 shiro使用的版本是1.2.4，存在反序列化漏洞，我们采取的办法是手动升级到了1.2.6版本，但苦于无法验证是否解决了问题，后来发现了一款测试工具，ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的？ shiro版本<=1.2.4时，其参数remeberMe存在硬编码，它对于cookie的处理流程是，首先获取rememberMe的cookie值，然后进行Base64解码，再进行AES解密，最后反序列化。但在这个过程中，其AES的Key硬编码，导致反序列化漏洞的产生。（参考http://www.secwk.com/2019/09/18/2818/） 反序列化漏洞解决思路 从上面我们了解到，反序列化漏洞主要是由于硬编码引起的，那么只要解决硬编码，就解决了该漏洞。解决硬编码主要有两种方式： 方法一：自行实现key值 方法二：升级到1.2.5版本或以上 那么在我的项目中，选择的是升级版本到1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决；
【文件预览】：
shiro-web-1.2.6.jar
shiro-spring-1.2.6.jar
shiro-ehcache-1.2.6.jar
shiro-core-1.2.6.jar