shiro介绍

1
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和绘画管理等功能

shiro反序列化漏洞原理

1
2
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先进行base64解码然后AES解密再做反序列化,这样就导致了反序列化RCE漏洞
由于Shiro提供了RememberMe的功能,因此当用户关闭浏览器,下次再打开时会记住我是谁,无需登录即可访问。