Shiro 反序列化漏洞及修复

2022-01-03 17:46:03 字数:1694 433次服务器

**这几天公司的部署服务器在经过漏洞检测后发现了我们的系统服务器上出现Shiro 反序列化漏洞问题，这个任务自然就落到了我这个产量服务器维护的Java小白身上，下面就简单记录一下自己修复这个漏洞的过程。**

------------
开始拿到这个任务其实我还是不明白这个到底是个什么样的问题，于是我就去开开发者社区网站了解了一下这个不知所以的问题。后来我大致了解了这个问题：
#### **漏洞说明**

Apache Shiro 框架提供了记住我的功能（RememberMe），用户登录成功后会
    生成经过加密并编码的 cookie。cookie 的 key 为 RememberMe，cookie 的值是经过
    相关信息进行序列化，然后使用 AES 加密（对称），最后再使用 Base64 编码处理。
    攻击者可以使用 Shiro 的默认密钥构造恶意序列化对象进行编码来伪造用户的
    Cookie，服务端反序列化时触发漏洞，从而执行命令。

了解了这个问题之后，那就想着如何去修复这个问题啊.但是却又不知道怎么修复，所以只能去求助度娘了,
经过我用力的百度，得到了两个解决问题的方法：
#### **解决方法**

解决方法升级 Shiro 到最新版本
    WAF 拦截 Cookie 中长度过大的 rememberMe 值
升级 Shiro 到最新版本

首先第一个升级升级 Shiro 到最新版本，意思就是这个漏洞只有在低版本的shiro才会出现，所以我们需要升级服务器中的shiro包到最新的版本。那怎么看你到底需要升级那些地方的shiro包呢？很简单，你只需要在你的项目部署目录下面输入一下命令即可：

grep -rn 'org.apache.shiro'

如图所示：
![](https://www.chenchenblog.com/pictureFiles/91c265cd-8f8d-4e70-a6be-bc8506e831bb3.png)
**需要更新的包：**

shiro-cas-1.2.2.jar
    shiro-core-1.2.2.jar
    shiro-ehcache-1.2.2.jar
    shiro-quartz-1.2.2.jar
    shiro-spring-1.2.2.jar
    shiro-web-1.2.2.jar
**获取最新的包**
然后去maven线上地址 [https://search.maven.org/](https://search.maven.org/) 搜索下载你需要的jar包替换线上目录的jar包即可，比如你需要新的shiro-core包，如图所示
![](http://www.chenchenblog.com/pictureFiles/0d68ec76-13bf-427f-9372-4ef5187b5629.png)

选择第一个

![](https://www.chenchenblog.com/pictureFiles/4978622b-57f2-45b0-944f-c647678977ec.png)

选择最新的版本

![](https://www.chenchenblog.com/pictureFiles/cda7ec2b-d239-4355-b119-e997d36f7ba3.png)

按照图示下载最新的jar包即可，然后替换服务器上需要替换的jar包，，重启项目即可。
重启后我们检测一下服务器是否还有漏洞，在网找了一个检测的jar包，
**获取地址**：https://github.com/feihong-cs/ShiroExploit-Deprecated

在本地跑一下,检测结果如图所示

![](https://www.chenchenblog.com/pictureFiles/04f9bb31-7cec-4752-90e3-557635abbe77.png)

说明漏洞已经清除

给我留言吧

留言板

00 发表于:2022-11-08 16:43:55 回复

o了