您的位置: 首页  >  文章  >  Apache Shiro Java 反序列化漏洞解决修复记录

Apache Shiro Java 反序列化漏洞解决修复记录

分类: 文章 2025-01-14 23:16:58

收到了阿里的警告
Apache Shiro Java 反序列化漏洞解决修复记录

阿里漏洞扫描系统

Apache Shiro Java 反序列化漏洞解决修复记录
Apache Shiro Java 反序列化漏洞解决修复记录
Apache Shiro Java 反序列化漏洞解决修复记录

解决办法
借鉴了 https://blog.****.net/Fly_hps/article/details/106112692
下载windows 扫描工具 https://github.com/feihong-cs/ShiroExploit/releases

1.查看当前状态
双击打开jar包 前提是系统有jre环境 输入线上报警的url地址进行扫描操作

Apache Shiro Java 反序列化漏洞解决修复记录

这里选择 其实选前两个感觉都一样
Apache Shiro Java 反序列化漏洞解决修复记录

这里可以看到通过默认秘钥漏洞扫描出来这么多东西 这是一个秘钥撞库的过程,如果秘钥匹配上了,就获取了一些权限
Apache Shiro Java 反序列化漏洞解决修复记录

下面更新Java程序的jar包 去serach.maven.org 找这几个坐标
Apache Shiro Java 反序列化漏洞解决修复记录

替换好 重启服务器再次测试 这是一个秘钥撞库的过程,如果秘钥匹配上了,就获取了一些权限 而这里全部撞完 不存在漏洞

Apache Shiro Java 反序列化漏洞解决修复记录

至此 加固完成

相关推荐