shiro反序列化漏洞

shiro：Apache Shiro 是一个强大且易用的 Java 安全框架 
主要用来：认证（登录）授权（权限控制）加密，会话管理 
shiro反序列化漏洞：主要是因为shiro使用remember功能来实现免登陆自动登录
默认密钥构造了恶意的序列化经过AES加密伪造了cookie触发了代码执行
shiro550 通过cookie值然后base64解码后AES解密然后反序列化
shiro721不需要密钥，构造出remember字段后的值，cookie即可完成攻击
流量特征:
Cookie：rememberMe 字段为超长 Base64 字符串，含 Java 序列化标识（如 rO0AB）
行为：同一 IP 短时间高频请求同一 URL，或非浏览器请求（无 / 异常 User-Agent）携带 rememberMe Cookie
危害以及防御
危害：远程控制，敏感资源泄露，作为跳板内网渗透被横向
防御：升级版本，加固密钥使用随机密钥，限制流量防止同一ip短时间内大量访问，部署waf