摘要:
借用p师傅的环境,改成了shiro1.4.1 root/secret Apapche Shiro RememberMe Cookie 默认通过 AES-128-CBC 模式加密 , 这种加密模式容易受到 Padding Oracle Attack( Oracle 填充攻击 ) , 攻击者可以使用有效 阅读全文
摘要:
搭个环境 root/secret #原理 shiro反序列化产生原因是因为 shiro 接受了 Cookie 里面 rememberMe 的值,然后去进行 Base64 解密后,再使用 aes 密钥解密后的数据,进行反序列化。 #加密过程 在AbstractShiroFilter#doFilterI 阅读全文