摘要: 在Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。 01、漏洞案例 本案例引用的shiro版本已是目前最新的1.8.0。尝试访问系统进行登录,抓包获取参数特征,包含xxx_rememberMe= 阅读全文
posted @ 2021-12-13 09:08 Bypass 阅读(1799) 评论(0) 推荐(0) 编辑