反序列化漏洞
漏洞原理
反序列化漏洞是基于序列化和反序列化的操作,在反序列化——unserialize()时存在用户可控参数,而反序列化会自动调用一些魔术方法,如果魔术方法内存在一些敏感操作例如eval()函数,而且参数是通过反序列化产生的,那么用户就可以通过改变参数来执行敏感操作,这就是反序列化漏洞。
漏洞危害
攻击者可伪造恶意的字节序列并提交到应用系统时,应用系统将对字节序列进行反序列处理时将执行攻击者所提交的恶意字节序列,从而导致任意代码或命令执行,最终可完成获得应用系统控制权限或操作系统权限。
RuoYi v4.2 Shiro反序列化漏洞文章来源:https://www.toymoban.com/news/detail-427282.html
Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过 加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行 序列化,然后使用aes加密,最后在使用base64编码处理形成的。在调用反序列化时未 进行任何过滤,导致可以触发远程代码执行漏洞。文章来源地址https://www.toymoban.com/news/detail-427282.html
到了这里,关于RuoYi v4.2 Shiro反序列化漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
