apache shiro 反序列化漏洞解决方案
- 反序列化漏洞解决方案
- 产生原因
- 解决方案1:1.升级shiro至最新版本1.7.1
- 解决方案2:修改rememberMe默认密钥,生成随机密钥。
反序列化漏洞解决方案
反序列化漏洞介绍
序列化:把对象转换为字符串或者字节流的过程。
反序列化:把字符串或者字节流恢复为对象的过程。
反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。
解决方案:
1.升级shiro至最新版本1.7.1
2.保持shiro版本不变<=1.2.4,修改rememberMe默认密钥
3.禁用rememberMe功能(不使用此方法)
产生原因
shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。
shiro默认使用了CookieRememberMeManager来管理RememberMe cookie, 其处理cookie的流程是:
1:生成cookie:序列化 => 使用密钥进行AES加密 => Base64编码,最后返回客户端 remebreme Cookie;
2: 识别cookie:得到rememberMe的cookie值=>Base64解码=>使用密钥进行AES解密=>反序列化。
这个通过观察shiro1.2.4版本的源代码可以发现,如果不指定密钥,shiro会默认一个初始化密钥,该密钥是被硬编码在代码中,由于代码是开源的,攻击者很容易找到该密钥,并且伪造cookie发起攻击。
总结:漏洞产生的根本原因是密钥泄露,比如使用网上公开的密钥,也会存在这个问题。
解决方案1:1.升级shiro至最新版本1.7.1
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.7.1</version>
</dependency>
密钥硬编码问题存在于1.2.4版本及以下。通过观察最新版本1.7.1的源代码发现,如果不指定密钥shiro会初始化一个随机密钥,由于密钥是随机生成的,所以攻击者没办法猜测到密钥。
注意 这是在使用shiro默认密钥的情况下,如果应用修改了默认密钥则需要保证该密钥不是公开的,并妥善保管防止泄露。
单纯升级shiro没能达到要求,还需要解决解决方案2来生成随机密钥。
解决方案2:修改rememberMe默认密钥,生成随机密钥。
springboot:随机密钥生成工具类:
import org.apache.shiro.crypto.AesCipherService;
import java.security.Key;
public class ShiroCustomAESKeyUtil {
public static String getKey(){
AesCipherService aesCipherService = new AesCipherService();
Key key = aesCipherService.generateNewKey();
return java.util.Base64.getEncoder().encodeToString(key.getEncoded());
}
}
将默认密钥调用改为调用随机密钥:
/**
* 记住我
*/
public CookieRememberMeManager rememberMeManager()
{
CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
cookieRememberMeManager.setCookie(rememberMeCookie());
// cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));
//密钥 调用ShiroCustomAESKeyUtil.getKey()生成
String cipherKey= ShiroCustomAESKeyUtil.getKey();
cookieRememberMeManager.setCipherKey(org.apache.shiro.codec.Base64
.decode(cipherKey));
return cookieRememberMeManager;
}
重点将密钥修改为随机生成:
总结:
综合考虑建议采用升级shiro版本(方案1)+修改密钥(方案2)的方式。该方式解决默认密钥硬编码的问题,同时也防止重启后密钥改变导致重启前的remeberme cookie失效的问题。
参考链接:
https://blog.csdn.net/qq_36407469/article/details/119119875
