原理解释 shiro对cookie做了什么? 其实你设置了这个rememberMe之后shiro还是有做一点事情的,它会生成一个cookie值叫 rememberMe 并保存在你的浏览器里面,而且这个参数会随着你调用 subject.logout() 会被自动清除。这个参数的值是一串很长的Base6 ...
分类:
其他好文 时间:
2021-02-02 11:03:43
阅读次数:
0
开始吧 1、 记住我(登录下面都会有一个checkbox的勾选框“记住我”) 在SpringSecurity里也有这个的配置。原理就是生成cookie返回给浏览器让其记住 标题说的不重要:可有可无。关了浏览器打开免登录那种。 2、 HttpSecurity 对象调用 rememberMe()方法。 ...
分类:
其他好文 时间:
2020-11-08 17:23:49
阅读次数:
36
header=“rememberme=deleteMe”、header=“shiroCookie” # CVE-2019-17558 Apache Solr Velocity模板远程代码执行app="Apache-Shiro"# 搜索湖北地区的资产<!--more--> && region="Hub ...
分类:
其他好文 时间:
2020-11-06 02:29:09
阅读次数:
26
自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验并建立登录态的一种机制。 Spring Security提供了两种非常好的令牌: 散列算法加密用户必要的登录信息并生成令牌 数据库等持久性数据存储机制用的持久化令牌 散列加密方案 在Spring Securit ...
分类:
编程语言 时间:
2020-06-26 10:55:16
阅读次数:
75
3. shiro 权限认证 在rememberMe的基础上修改CustomizeRealm 添加一个controller 修改yml 修改index.html 添加一个没有权限认证的异常处理器 相应的错误页面 ...
分类:
其他好文 时间:
2020-05-06 11:42:26
阅读次数:
59
信息收集 poc /tmp/payload.cookie 替换发包的rememberMe=X 参考 https://github.com/insightglacier/Shiro_exploit https://github.com/Medicean/VulApps/tree/master/s/sh ...
分类:
其他好文 时间:
2020-05-05 16:20:42
阅读次数:
981
0x00 影响版本 Apache Shiro Base64解码 AES解密 反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 payload 构造 前16字节的密钥 后面加入序列化参数 AES加密 base64编码 发送cookie 0x02 靶场环境 ...
分类:
其他好文 时间:
2020-05-04 17:14:06
阅读次数:
299
影响版本: Apache Shiro <= 1.2.4 原因分析: Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导 ...
分类:
Web程序 时间:
2020-03-23 16:39:23
阅读次数:
1131
我这里是使用shiro的rememberMe进行cookie登录,发现立即杀进程会无法保存cookie,百度了很多文章,才发现有个十几秒的延迟时间。 参考: webView 中js保存cookie后立即杀掉进程后重启无法获取保存的cookie https://blog.csdn.net/u01317 ...
分类:
移动开发 时间:
2020-02-14 11:05:42
阅读次数:
123
记住我 token保存到数据库 这里使用jpa+mysql 设置配置rememberme ...
分类:
数据库 时间:
2020-01-29 14:11:20
阅读次数:
317