摘要:
1. 漏洞成因 为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中,下次读取时进行解密再反序列化。但是在Shiro 1.2.4版本之前内置了一个默认且固定的加密Key,导致攻击者可以伪造任意的rememberMe Co 阅读全文
摘要:
1. ctfshow 击剑杯 esaypop(反序列化构造pop链) 题目地址:https://ctf.show/challenges 题目源码: highlight_file (FILE); 点击查看代码 highlight_file (__FILE__); error_reporting(0); 阅读全文