apache shiro 反序列化漏洞解决方案

发布时间:2023年12月18日

反序列化漏洞解决方案

反序列化漏洞介绍
序列化:把对象转换为字符串或者字节流的过程。
反序列化:把字符串或者字节流恢复为对象的过程。
反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。

解决方案:
1.升级shiro至最新版本1.7.1
2.保持shiro版本不变<=1.2.4,修改rememberMe默认密钥
3.禁用rememberMe功能(不使用此方法)
在这里插入图片描述

产生原因

shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。
shiro默认使用了CookieRememberMeManager来管理RememberMe cookie, 其处理cookie的流程是:
1:生成cookie:序列化 => 使用密钥进行AES加密 => Base64编码,最后返回客户端 remebreme Cookie;
2: 识别cookie:得到rememberMe的cookie值=>Base64解码=>使用密钥进行AES解密=>反序列化。
这个通过观察shiro1.2.4版本的源代码可以发现,如果不指定密钥,shiro会默认一个初始化密钥,该密钥是被硬编码在代码中,由于代码是开源的,攻击者很容易找到该密钥,并且伪造cookie发起攻击。
总结:漏洞产生的根本原因是密钥泄露,比如使用网上公开的密钥,也会存在这个问题。

解决方案1:1.升级shiro至最新版本1.7.1

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.7.1</version>
        </dependency>

密钥硬编码问题存在于1.2.4版本及以下。通过观察最新版本1.7.1的源代码发现,如果不指定密钥shiro会初始化一个随机密钥,由于密钥是随机生成的,所以攻击者没办法猜测到密钥。
注意 这是在使用shiro默认密钥的情况下,如果应用修改了默认密钥则需要保证该密钥不是公开的,并妥善保管防止泄露。
单纯升级shiro没能达到要求,还需要解决解决方案2来生成随机密钥。

解决方案2:修改rememberMe默认密钥,生成随机密钥。

springboot:随机密钥生成工具类:

import org.apache.shiro.crypto.AesCipherService;
 
import java.security.Key;
 
public class ShiroCustomAESKeyUtil {
    public static String getKey(){
        AesCipherService aesCipherService = new AesCipherService();
        Key key = aesCipherService.generateNewKey();
        return java.util.Base64.getEncoder().encodeToString(key.getEncoded());
    }
}

将默认密钥调用改为调用随机密钥:

    /**
     * 记住我
     */
    public CookieRememberMeManager rememberMeManager()
    {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
//        cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));
        //密钥 调用ShiroCustomAESKeyUtil.getKey()生成
        String cipherKey= ShiroCustomAESKeyUtil.getKey();
        cookieRememberMeManager.setCipherKey(org.apache.shiro.codec.Base64
                .decode(cipherKey));
        return cookieRememberMeManager;
    }

重点将密钥修改为随机生成:
在这里插入图片描述
总结:
综合考虑建议采用升级shiro版本(方案1)+修改密钥(方案2)的方式。该方式解决默认密钥硬编码的问题,同时也防止重启后密钥改变导致重启前的remeberme cookie失效的问题。

参考链接:
https://blog.csdn.net/qq_36407469/article/details/119119875

文章来源:https://blog.csdn.net/yinchoushi8780/article/details/135058774
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。