• 2024-09-18Shiro流量分析
    前言靶场:https://vulfocus.cn/Shiro(ApacheShiro)是一个强大且灵活的开源安全框架,专为Java应用程序提供安全性解决方案。它由Apache基金会开发和维护,广泛应用于企业级应用程序和Web应用程序中。Shiro的设计目标是简化应用程序的安全性配置和开发过程,提供易于使用的API和丰富的功
  • 2024-08-21秋招红队面试经验分享
    吉祥知识星球http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247485367&idx=1&sn=837891059c360ad60db7e9ac980a3321&chksm=c0e47eebf793f7fdb8fcd7eed8ce29160cf79ba303b59858ba3a6660c6dac536774afb2a6330#rd《网安面试指南》《Java代码审计》《Web安全》《应
  • 2024-08-13第17天 信息打点-语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等
    时间轴演示案例指纹识别—本地工具—GotoScanPython—开发框架—Django&FlaskPHP—开发框架—ThinkPHP&Laravel&YiiJava—框架组件—FastJson&Shiro&Solr&Spring知识点1.CMS指纹识别—不出网程序识别解决:CMS识别到后前期漏洞利用和代码审计一般PHP开发居多,利用源码
  • 2024-05-05Apache Shiro 721反序列化漏洞Padding Oracle Attack
    目录漏洞原理复现修复方式漏洞原理Shiro的RememberMeCookie使用的是AES-128-CBC模式加密。其中128表示密钥长度为128位,CBC代表CipherBlockChaining,这种AES算法模式的主要特点是将明文分成固定长度的块,然后利用前一个块的密文对当前块的明文进行加密处理。这种模式的加
  • 2024-04-01shiro的rememberMe各种漏洞一刀切解决
    rememberMe的低版本AES固定密码导致的漏洞,高版本仍然有被爆破,穷举的风险等。这种东西总是在安全检测的时候被拿出来说事儿,然而项目中并未开启rememberMe,也就是说压根不需要这个功能。那此时采用重写代码来直接杜绝这东西即可,任凭它怎么检测,已经没有这个口子了。跟踪源码会发现,
  • 2024-02-01第17天:信息打点-语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等
    框架:简单代码的一个整合库,如果使用框架就只需要学习使用框架调用即可如:文件上传功能是需要很多代码来实现的,框架把这个代码进行封封装,调用即可影响:如果采用框架开发,代码的安全性是取决于框架的过滤机制 #Python-开发框架-Django&FlaskDjango1、识别插件2、Set-Cookie:expi
  • 2023-11-23框架安全
    常见框架:Spring框架Struts2框架ThinkPHP框架Shiro框架Spring框架框架特征1.ico图标是一个小绿叶2.报错页面的大标题是WhitelabelErrorPage3.X-Application-Context中会出现spring-boot字样Struts2框架框架特征1.路由以.action后缀结尾利用工具K8gege安恒
  • 2023-11-18Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
    ApacheShiro1.2.4反序列化漏洞(CVE-2016-4437)ApacheShiro是一款开源安全框架,提供身份认证、授权、密码学和会话管理。Shiro框架直观、易用,同时也提供健壮的安全性。ApacheShiro1.2.4以及以前部版本中,加密的用户信息序列号后存储在名为remember-me的Cookie中,攻击者开源使用Shi
  • 2023-08-16shiro用户登录验证
    @ApiOperation(value="用户登录",notes="用户登录",httpMethod="POST")@PostMapping({"/login"})publicResultVOlogin(@ApiParam(name="username",value="用户名",required=true)@RequestPar
  • 2023-07-13【Spring Security】的RememberMe功能流程与源码详解
    相关课程前言今天我们来聊一下登陆页面中"记住我"这个看似简单实则复杂的小功能。如图就是某网站登陆时的"记住我"选项,在实际开发登陆接口以前,我一直认为这个"记住我"就是把我的用户名和密码保存到浏览器的cookie中,当下次登陆时浏览器会自动显示我的用户名和密码,就不用我再次
  • 2023-07-04shiro550
    源码分析:   接收到response传回的参数后先序列化,之后进行aes加密(对称)  上图可以看到使用kPH+bIxk5D2deZiIxcaaaA==解密 最后base64编码 漏洞原理:shiro框架在登录时,如果勾选了RememberMe的功能,关闭浏览器再次访问时便无需再次登录,此时cookie中会增加一个rem
  • 2023-06-22基础的框架漏洞 6
    一、log4j远程代码执行漏洞原理:Log4j是Apache的一个开源项目,是一款基于Java的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到~$后,以:号作为分割,将表达式内容分割成两部分,前面一部分prefix,后面部分作为key,然后通过prefix去找对应的iookup,通过对应的lookup实例调用lookup
  • 2023-05-15反序列化漏洞-Apache Shiro
    ApacheShiro一、shiro的相关介绍1、Shiro概述ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。2、Shiro历史漏洞(Shiro-550)​ApacheShiro框架提供了记住我的功能(RememberMe),用户登录成
  • 2023-05-02spring security的.rememberMe
    springsecurity的.rememberMe springsecurity的.rememberMe的key干嘛用 Authorization:Basicuser是干嘛用  
  • 2023-04-06若依界面修改
    阿里图标一( ̄︶ ̄*))图片白嫖一((* ̄3 ̄)╭*********专栏略长====爆肝万字====细节狂魔====请准备好一键三连*********运行成功后:idea后台正常先挂着我习惯用VScode操作当然如果有两台机子一个挂后台一个改前端就更好了只需修改vue.config.js配置文件即可eg:按 Win+R打开
  • 2023-02-04162-cas-server5.3修改自定义登录页,记住我
    新建src/main/resources资源目录将War包里的~/classes/templates/中的相关文件,复制过来:比如我修改到的圈红的哪些文件,复制过来修改就行。application.properties中添加
  • 2023-01-17rememberMe功能
    1.引入依赖<dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><version>8.0.18</version></dependency><dependency><g
  • 2023-01-06Shiro-721反序列化漏洞
    漏洞名称Shiro-721(ApacheShiroPaddingOracleAttack)反序列化利用条件ApacheShiro<1.4.2漏洞原理ApacheShirocookie中使用AES-128-CBC模式加密的rememberMe字
  • 2023-01-06CVE-2016-4437
    漏洞名称Apacheshiro1.2.4反序列化漏洞(CVE-2016-4437)利用条件ApacheShiro<=1.2.4漏洞原理Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏
  • 2022-12-09基于springboot架构 钉钉扫码登录第三方应用
    基于springboot架构钉钉扫码登录第三方应用​​获取appId及appSecret​​​​项目应用​​​​1.配置文件增加如下配置​​​​2.下载sdk​​​​3.将sdk引入项目​​​​3
  • 2022-11-30常用功能系列---【使用EasyCaptcha快速生成验证码】
    使用EasyCaptcha快速生成验证码1.引入pom坐标<!--验证码--><dependency><groupId>com.github.whvcse</groupId><artifactId>easy-captcha</artifactId>
  • 2022-11-04Apache shiro 反序列化漏洞
    Apacheshiro简介ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从