安全客 - 安全资讯平台

shiro

Shiro权限绕过漏洞分析

shiro

权限绕过

前段时间遇到通过分号绕过nginx层屏蔽并顺利访问到Springboot项目actuator端点的问题。为搞明白此问题，决定对shiro的权限校验问题进行整理学习，下面为常见的shiro权限绕过漏洞分析修复过程。

ttestoo
2021-10-13 16:30:21

229212次阅读

反序列化

关于Shiro反序列化漏洞的一些思考

反序列化

shiro

本文主要以抛出问题的方式，努力寻找在实际调试过程中遇到问题的真实答案，最后结合前辈们总结的知识点也用实践检验了知识点，特此记录。

D4ck
2021-09-01 16:30:59

254574次阅读 1

反序列化

Shiro反序列化漏洞与Tomcat注入内存马学习

最近在看phith0n师傅的教程入门JAVA安全,其中提到的Shiro反序列化已经是个2016年的老洞了。

戳戳龙
2021-06-24 10:00:09

273166次阅读

bypass

Shiro 权限绕过的历史线（下）

bypass

shiro

查阅了网上的Shiro权限绕过的文章，感觉讲得比较乱也比较杂，利用和成因点都没有很明朗的时间线,利用方式更是各种各样，导致没办法很好地学习到多次Bypass patch的精髓，故笔者对此学习和研究了一番，希望与大家一起分享我的过程。

xq17
2021-05-12 14:30:41

318668次阅读

bypass

Shiro 权限绕过的历史线（上）

bypass

shiro

查阅了网上的Shiro权限绕过的文章，感觉讲得比较乱也比较杂，利用和成因点都没有很明朗的时间线,利用方式更是各种各样，导致没办法很好地学习到多次Bypass patch的精髓，故笔者对此学习和研究了一番，希望与大家一起分享我的过程。

xq17
2021-05-11 14:30:21

339124次阅读

一道shiro反序列化题目引发的思考

这是某银行的内部的一个CTF比赛，受邀参加。题目三个关键词权限绕过、shiro、反序列化，题目源码已经被修改，但考察本质没有，题目源码会上传到JavaLearnVulnerability。

SummerSec
2021-03-05 10:00:43

409870次阅读 6

shiro

Apache Shiro 两种姿势绕过认证分析（CVE-2020-17523）

shiro

CVE-2020-17523

Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API，您可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序。

360云安全
2021-02-05 13:30:24

574694次阅读 11

漏洞分析

Shiro反序列化漏洞详细分析

漏洞分析

shiro

上次讲了最近的shiro权限绕过的漏洞，这次来补充分析一下以前的shiro-550反序列化漏洞。另外学习了shiro-550也可以更好地理解shiro-721漏洞，也就是Shiro Padding Oracle Attack。所以这次就详细地看下shiro反序列化漏洞。

zzZ
2021-01-25 15:30:32

434976次阅读 1

Web安全

Shiro反序列化的检测与利用

Web安全

shiro

Shiro 是 Apache 旗下的一个用于权限管理的开源框架，提供开箱即用的身份验证、授权、密码套件和会话管理等功能。

掌控安全学院
2021-01-12 17:00:33

394010次阅读

Java

Shiro 权限绕过 CVE-2020-13933分析

Java

shiro

2020-08-19， Apache Shrio发布了CVE-2020-13933的漏洞, 其等级为高，影响范围为<=1.5.3。

shinpachi8
2020-09-03 10:30:41

373979次阅读