Shiro反序列化漏洞检测及修复(工具分享)
- 写在前面
- 反序列化漏洞是如何产生的
- 反序列化漏洞解决思路
- 测试工具下载地址
- 测试过程
写在前面
这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。
我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。
在此特别感谢其作者 feihong飞鸿。
反序列化漏洞是如何产生的
shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/)
反序列化漏洞解决思路
从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式:
- 自行实现key值
- 升级到1.2.5版本或以上
那么在我的项目中,选择的是升级版本到1.2.6
测试工具下载地址
https://github.com/feihong-cs/ShiroExploit_GUI/releases
测试过程
1. 首先打开下载到的ShiroExploit,可以看到这样的界面。选择shiro550,在中间的白框,填入项目访问路径,点击下一步
2. 来到当前页面,选择使用回显进行漏洞检测,点击下一步
3. shiro1.2.4版本
可以看到,Trying Key,然后Find Valid key。相信从字面意思也看出来了,找到了这个硬编码的key,此时代表反序列化漏洞存在
4. 接下来我们看一下升级后的shiro1.2.6
很清晰看到与1.2.4的对比,Can not find a valid key,然后一直在Trying,此时漏洞已经不存在了
**最后希望本篇文章能够帮助到大家,
再次郑重感谢工具作者飞鸿!!!
**