Shiro-550 反序列化 2023-3-06 16:55 | 878 | Java,安全 | 0 | 2024-4-25 9:52 2057 字 | 17 分钟 原理 Shiro 反序列化漏洞的原理比较简单:为了让浏览器或服务器重启后用户不丢失登录状态,Shiro 支持将持久化信息序列化并加密后保存在 Cookie 的 rememberMe 字段中,下次读取时进行解密再反序列化。但是在 Shiro 1.2.4 版本之前内置了一个默认且固定的加密 Key,导致攻击者可以伪造任意的 rememberMe Coo… Shiro