'Java反序列化漏洞-shiro550'

发表于 更新于 分类于 阅读次数:

环境

直接github下载shiro 1.2.4的代码

编辑shiro/samples/web目录下的pom.xml,将jstl的版本修改为1.2。

1
2
3
4
5
6
<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <version>1.2</version>
    <scope>runtime</scope>
</dependency>

前言

本质上还是rembemberme这个功能设置cookie的时候 AES 加密的key使用了硬编码