记一次shiro反序列化漏洞解决方案

      在网络信息管理部门的一次清查中，系统被测出存在shiro反序列化漏洞，如图一。

当时shiro的版本为1.2.2，按照网上所说的，运行稳定的项目可以通过在配置文件的securityManager中配置rememberMe，并写一个1.2.5及以上版本中解决shiro漏洞的类来修复漏洞，具体代码如下：

配置：

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
          <property name="realms">
            <list>
                <!-- <ref bean="systemAuthorizingRealmU" /> -->
                 <ref bean="systemAuthorizingRealmC" />
            </list>
        </property>
         <property name="rememberMeManager" ref="rememberMeManager" />
    </bean>

<!-- 随机生成秘钥 -->

    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey" value="#{T(com.nova.framework.modules.sys.security.GenerateCipherKey).generateNewKey()}"></property>
    </bean>

//类

public class GenerateCipherKey {

    /**
     * 随机生成秘钥，参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)
     */
    public static byte[] generateNewKey() {
        KeyGenerator kg;
        try {
            kg = KeyGenerator.getInstance("AES");
        } catch (NoSuchAlgorithmException var5) {
            String message = "Unable to acquire AES algorithm.  This is required to function.";
            throw new IllegalStateException(message, var5);
        }

        kg.init(128);
        SecretKey key = kg.generateKey();
        byte[] encoded = key.getEncoded();
        return encoded;
    }
}

这么写了之后，系统漏洞非但没有解决，启动也失败了。折腾到最后，使用了最粗暴的方法，直接替换更高版本的jar包【1.2.5】，结果漏洞修复了，检测结果如图二，也是很迷【这种方法一般运用在项目初期，上线之前】。

所以说，网上的说法有时候要自己去验证，并非照搬。

检测漏洞的工具地址为：https://github.com/tangxiaofeng7/Shiroexploit/releases

将jar包下载下来，跳到下载地址，用java -jar jar包名  来运行该工具。