Apache shiro 的相关内容

文章 2024-08-12 来自：开发者社区

Apache Shiro 1.6.0 逻辑（CVE-2013-2134）

前言 CVE-2021-44983 是一个影响 taoCMS 3.0.1 的远程代码执行（RCE）。该允许者通过上传恶意文件并在服务器上执行任意代码来利用这一安全缺陷。描述 taoCMS 是一个内容管理系统（CMS），用于创建和管理网站内容。CVE-2021-44983 源于文件上传功能缺乏适当的验证和过滤。由于没有对上传的文件类型进行严格的验证，可以上传包含恶意代码的...

文章 2024-07-01 来自：开发者社区

如何安装与使用Spring Boot 2.2.x、Spring Framework 5.2.x与Apache Shiro 1.7进行高效开发

在现代Java Web开发领域，Spring Boot以其简化配置、快速开发的特点备受青睐。结合Spring Framework的成熟与Apache Shiro的强大权限控制能力，我们可以轻松构建安全且高效的Web应用。本篇文章将指导你如何安装并使用Spring Boot 2.2.x、Spring Framework 5.2.x以及Apache Shiro 1.7来构建一个具备基础权限管理功能的....

文章 2023-10-15 来自：开发者社区

【Shiro】Apache Shiro 默认密钥致命令执行漏洞（CVE-2016-4437）的解决方案

今天收到运维人员的反馈，说程序有漏洞，如下图：一、项目描述项目技术栈：Spring Boot(2.0.1) + shiro(1.6.0) + mybatis(3.4.1)二、漏洞详情Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。阿里云....

文章 2023-05-04 来自：开发者社区

Apache Shiro ＜ 1.7.0 权限绕过漏洞集合

今天发现阿里云服务器出现了告警：shiro 1.3.2进程ID：3932路径：xxx\shiro-core-1.3.2.jar命中：shiro version less than 1.7.0网上一搜，找到了如下资料：2020年11月2日，阿里云应急响应中心监测到Apache Shiro官方发布安全更新，修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能，风险较高漏洞描述Apa....

文章 2022-11-15 来自：开发者社区

Apache Shiro In Easy Steps With Spring Boot(二)-Authenticator,Authorizer,Subject

Chapter 02 Apache Shiro with Spring BootSection 01 - 创建Spring Boot项目IntelliJ IDEA 创建Spring Boot项目在pom.xml文件中加入apache shiro starter依赖<dependency> <groupId>org.apache.shiro</groupId&....

文章 2022-11-15 来自：开发者社区

Apache Shiro In Easy Steps With Spring Boot(一)

Chapter 01 什么是权限控制Section 01 - 权限控制的概念权限控制就是对用户访问系统的控制，按照用户的角色等控制用户可以访问的资源或者可以执行的操作，因此权限控制分为多种如功能权限控制，数据权限控制及管理权限控制Servlet实现权限控制 Servlet中通过实现自定义的Filter来实现权限控制，设定好哪些URL地址是需要授权才可以访问的，针对这些URL地址的访问进行拦....

文章 2022-10-20 来自：开发者社区

Apache Shiro身份认证过程详解

花了两天时间认真、重点走读 Apache Shiro安全框架身份认证的源码，访问控制和前者是结构对应的，架构之美体现在对称和简易上。这个框架也让我想起业界优秀的网络框架 Netty，优雅地描述了网络模型，它的优雅不仅体现在 ServerSocket和 Socket的对称之美，还体现在简化了一系列配置极简之美。①，先上一张Shiro框架手绘图从图中能够清晰地看出，该框架能够提供的服务类型有哪些....

文章 2022-10-19 来自：开发者社区

Apache shiro介绍

原文链接Application Security With Apache Shiro(翻译)前面自己自己配合谷歌翻译，后面大部分谷歌翻译。当你尝试保护你的程序时候你会被困扰吗？你会觉得现有的java安全方案难以使用并且将来还会困惑你？这篇文章介绍Apach shiro，一个简单而又强大的保护程序安全的安全框架。它解释了Apache的项目目标。架构原理和如何使用shiro保护你的程序。什么是shi....

文章 2022-02-11 来自：开发者社区

这么直观、易用的 Apache Shiro，你不知道吗

由来Shiro 的前身是 JSecurity，2004年，Les Hazlewood 和 Jeremy Haile 创办了 Jsecurity。当时他们找不到适用于应用程序级别的合适 Java 安全框架，同时又对 JAAS 非常失望。2004 年到 2008 年期间，JSecurity 托管在 SourceForge 上，贡献者包括 Peter Ledbrook、Alan Ditzel 和 Ti....

文章 2022-01-06 来自：开发者社区

【WEB安全】Apache Shiro 反序列化漏洞（下）

六、Shiro Padding Oracle Attack（Shiro-721）由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题，用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段，并重新请求网站，进行反序列化攻击，最终导致任意代码执行。1、漏洞利用1、登录Shiro网站，从cook....