Apache Shiro 权限绕过漏洞(CVE-2020-13933)

前言

之前分析了 Apache Shiro 权限绕过漏洞(CVE-2020-11989),过了一段时间又出现了新的权限绕过漏洞 (CVE-2020-13933)。应该是在修复的基础上进行了绕过。 CVE-2020-11989 的影响版本为 Apache Shiro < 1.5.3 , CVE-2020-13933 的影响版本为 Apache Shiro < 1.6.0 。

阅读全文

Apache Shiro 1.2.4反序列化漏洞

漏洞简介

Apache Shiro 是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为 RememberMe 的 Cookie 中。攻击者可以使用 Shiro 的默认密钥伪造用户 Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。

阅读全文

初识Java 反序列化

初识Java 反序列化

What

什么是序列化与反序列化

  • java 序列化可以将一个对象序列化成JVM认识的字节序列,字节序列中包含了对象的数据,主要以对象属性为主。
  • java 反序列化是指把字节序列恢复为java对象的过程。利用在A平台上序列化产生的字节序列,可以在B平台上反序列化出同样的对象。
阅读全文

Hello World

Hello word

😄 😄 😄