shiro 550 ​ 在Shiro <= 1.2.4中，在反序列化过程中所需要用到AES加密的KEY是一个固定在源码中写死的值，攻击者可以通过源码分析加密流程，对恶意代码进行加密，然后通过rememberMe字段进行传递，在服务端进行恶意代码执行 漏洞原理(shiro-550) ​ 当用户勾选RememberMe进行登录的时候，shiro会…

Shiro概述 Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中，最热门的产品有Spring Security和Shiro，二者在核心功能上几乎差不多，但Shiro更加轻量级，使用简单、上手更快、学习成本低，所以Shiro的使用量一直高于Spring Securit…