shiro 反序列化 (CVE-2016-4437)
| ID: | 16885 |
|---|---|
| 标题: | shiro 反序列化 (CVE-2016-4437) |
| 描述: | shiro 反序列化 (CVE-2016-4437) vulfocus/shiro-cve_2016_4437 Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | None |
| writeup: | 登录 https://vulfocus.cn 搜索shiro 反序列化 (CVE-2016-4437) |