背景
之前使用guns做的项目中,由于使用的是shiro,并且使用的是它默认的AES加密公共密钥,所以,存在安全性问题。
解决
首先,需要先对shiro的版本进行升级,如果之前使用的是shiro 1.2.4之前的版本,那么会存在反序列化安全性问题。
在1.2.4版本之前,shiro问题如下。
当浏览器发送remember Me Cookie的请求时,服务端的流程如下。
读取cookie -> base64解码 -> AES解密 -> 反序列化。
在1.2.4版本之前,这个AES加密的密钥是预设好的kPH+bIxk5D2deZiIxcaaaA== 并且,没有通过其他的方式来设置这个秘钥。是一个预设值。
此时,由于,我们知道这个这个加密密钥,所以,破解过程如下。
因为,我们知道了AES密钥,所以,我们可以生成任意我们想要的Cookie。
那么,在1.2.4版本之后,这个预设的密钥就删除掉了。需要用户自己进行设置。但是,又产生了一个问题,像guns这种系统密钥是设定死了,直接在guns中能够找到。而关键代码可以在github 上通过api search接口搜索到,从而得到一个所谓的key包,就是这些密钥的集合,然后用这些公开的密钥去轮流尝试,如果用guns框架的话,就会导致密钥泄漏。
所以,这个密钥不能被泄漏。
我使用了公共密钥+加随机数的方式来生成密钥。这样保证了每次bean初始化的时候 对称密钥是不一样的。
总结
第一,可以把当前shiro的版本进行升级,可以升级到1.7.0
第二,AES加密密钥要进行更改,新的密钥不要被别人获取到。