摘要: 借用p师傅的环境,改成了shiro1.4.1 root/secret Apapche Shiro RememberMe Cookie 默认通过 AES-128-CBC 模式加密 , 这种加密模式容易受到 Padding Oracle Attack( Oracle 填充攻击 ) , 攻击者可以使用有效 阅读全文
posted @ 2022-12-30 17:39 one-seven 阅读(363) 评论(0) 推荐(0) 编辑
摘要: 搭个环境 root/secret #原理 shiro反序列化产生原因是因为 shiro 接受了 Cookie 里面 rememberMe 的值,然后去进行 Base64 解密后,再使用 aes 密钥解密后的数据,进行反序列化。 #加密过程 在AbstractShiroFilter#doFilterI 阅读全文
posted @ 2022-12-30 17:13 one-seven 阅读(537) 评论(0) 推荐(0) 编辑