漏洞名称

Shiro-721(Apache Shiro Padding Oracle Attack）反序列化

利用条件

Apache Shiro < 1.4.2

漏洞原理

Apache Shiro cookie中使用AES-128-CBC模式加密的rememberMe字段存在问题，用户可通过Padding Oracle加密生成的攻击代码来构造恶意的rememberMe字段，并重新请求网站，进行反序列化攻击，最终导致任意代码执行。

漏洞利用

ShiroExploit.jar

使用工具

修复建议

1.更新版本Apache Shior到最新版本：

1. 升级至安全版本
2. 关闭rememberMe持久化登录功能。
临时防范建议：
在安全设备尝试拦截爆破流量，及时阻止攻击者进行尝试性攻击。

a. 升级Shiro到最新版

b.升级对应JDK版本到 8u191/7u201/6u211/11.0.1 以上

c.WAF拦截Cookie中长度过大的rememberMe值

d.WAF拦截访问过于频繁的IP, 因为该漏洞需要爆破Cookie

参考文章

标签：rememberMe,漏洞,721,Apache,序列化,Shiro
From： https://www.cnblogs.com/crayonxiaoxin/p/17031299.html

.Net Core Mvc控制器返回JsonResult 序列化数据循环依赖问题
开始找的解决方案发现并行不通services.AddControllers().AddNewtonsoftJson((options)=>{//忽略循环引用options.Ser......
weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)
漏洞描述WeblogicWLS组件中存在CVE-2017-10271远程代码执行漏洞，可以构造请求对运行weblogic中间件的主机进行攻击。受影响weblogic版本10.3.6.0.0，12.1.3.0.0,12.2.1.1.......
weblogic T3反序列化
漏洞编号CVE-2021-2135漏洞背景该漏洞是由Hvv中被捕捉到的，WebLogic存在一个T3协议反序列化漏洞，攻击者可利用此漏洞造成远程代码执行影响版本weblogic10.3.6.0漏洞复......
C# 序列化与非序列化
2023.1.5 JavaScriptSerializer参考实体类：CustomerpublicclassCustomer{publicintUnid{get;set;}publicstringCustomerName{get;set;}}(......
C#应用程序配置文件（XML序列化） - 开源研究系列文章
上次写了一个C#线程池及管理器的博文（C#开发的线程池和管理器-开源研究系列文章），收到了不小的浏览量，在此感谢各位网友的支持。这次将另一个功能放出来单独讲解：C#应用......
Shiro
1、权限框架之Shiro详解(非原创)2、跟我学Shiro3、Shiro安全框架入门篇（登录验证实例详解与源码）4、安全认证框架Shiro(一）-ini配置文件5......
ArrayList的二进制序列化及反序列化实现
usingSystem;usingSystem.Collections.Generic;usingSystem.Collections;usingSystem.Text;usingSystem.Data;usingSystem.Data.SqlClient;usingSystem.IO;us......
Django-restframework 序列化器与反序列化器
序列化器restframework中提供了所有可用的序列化器基类，引用方法如下：fromrest_frameworkimportserializersSerializer：序列化器基类，drf中所有的序列化器都必须继承于S......
ArcObjects SDK开发 025 AO中对象的序列化和反序列化
在ArcObjectsSDK，序列化接口是IPersistStream，该接口的定义如下。其中GetClassID函数可以获取实际类型的唯一ID，Load函数是反序列化函数，Save函数为序列化函数。我们看下Loa......
python中数据类型与json的序列化和反序列
|JSON|Python||-------------------|------------||object|dict（集合）||array|list列......

Shiro-721反序列化漏洞