07_Server对象和Cookie

ApacheShiro反序列化漏洞（Shiro-550CVE-2016-4437）0x00 漏洞描述Apache Shiro是⼀款开源安全框架，提供⾝份验证、授权、密码学和会话管理。

Shiro框架直观、易⽤，同时也能提供健壮的安全性。

Apache Shiro 1.2.4及以前版本中，加密的⽤户信息序列化后存储在名为remember-me的Cookie中。

攻击者可以使⽤Shiro的默认密钥伪造⽤户Cookie，触发Java反序列化漏洞，进⽽在⽬标机器上执⾏任意命令只要rememberMe的AES加密密钥泄露，⽆论shiro是什么版本都会导致反序列化漏洞。

0x01 影响版本Apache Shiro <= 1.2.40x02 漏洞原理Apache Shiro框架提供了记住我的功能（RememberMe），关闭了浏览器下次再打开时还是能记住你是谁，下次访问时⽆需再登录即可访问。

⽤户登陆成功后会⽣成经过加密并编码的cookie。

Apache Shiro 1.2.4及以前版本中，Apache Shiro默认使⽤了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。

然⽽AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞在服务端接收cookie值时，按照如下步骤来解析处理：1、检索RememberMe cookie 的值2、Base 64解码3、使⽤AES解密(加密密钥硬编码)4、进⾏反序列化操作（未作过滤处理）但是，AES加密的密钥Key被硬编码在代码⾥，意味着每个⼈通过源代码都能拿到AES加密的密钥。

因此，攻击者构造⼀个恶意的对象，并且对其序列化，AES加密，base64编码后，作为cookie的rememberMe字段发送。

Shiro将rememberMe进⾏解密并且反序列化，最终造成反序列化漏洞。

Date: 07. 05 2007F5 TrainingBeyond TechnologyF5 LTM 简介东软移动互联网开发部 王旭Date: 07. 05 2007F5 Training议程ƒ ƒ ƒ ƒ 应用交换机的作用 应用交换机产品的发展历史 F5 BIGIP 简介 讨论Date: 07. 05 2007F5 Training应用交换机的作用智能客户端 网络管件Routers智能应用SwitchesFirewalls应用流量管理 安全远程访问 Web应用安全Date: 07. 05 2007F5 Training应用交换机的基本工作ƒ 截获和检查流量,保证只有合适的数据包才能通过 ƒ 服务器监控和健康检查,随时了解服务器群的可用性 状态 ƒ 负载均衡和应用交换功能,通过各种策略导向到合适 的服务器 ƒ 会话的保持以实现与应用系统完美结合截取 监控 负载均衡 保持Date: 07. 05 2007F5 Training议程ƒ ƒ ƒ ƒ 应用交换机的作用 应用交换机产品的发展历史 F5 BIGIP 简介 讨论Date: 07. 05 2007F5 Training应用交换机的发展优化的中央处理 交换机 中央CPU 专有优化OS 分布式ASICBIGIP 2000 BIGIP 2400 Alteon 2424中央分布式 交换机?交换机 功能服务器BIGIP 520Alteon AD3 Cisco CSS专有L4 ASIC/NP 中央CPU 专有优化OS专有OSFoundryNetScelar2001年出品，但 目前还是serverArray TM1996 19971998~20012002~20032004Date: 07. 05 2007F5 Training第6代的应用交换机管理Date: 07. 05 2007F5 Training第6代应用交换机-先进的ASICDRAMƒ 全球唯一的四七层ASIC• 专有CAM • 专有 DRAM/SDRA M • 内置DDOS攻 击防护 • PVA 2 /PVA10CAMASICSDRAMDate: 07. 05 2007第六代应用交换机-先进的软件结 构基础管理平台系统管理 健康检查 WEB界面F5 Training管理系统流量处理微内核管理CPU高速硬件平台Date: 07. 05 2007F5 Training第六代应用交换机-Full Proxy结构TrafficShield Web Accel Microkernel Rate Shaping TCP Express Compression TCP Express OneConnect TCP ProxyClient Side Server SideCachingClientXMLSSL3rd PartyServeriRules High Performance HW iControl APIƒ ƒ ƒ ƒ ƒTMOS Traffic Plug-ins High-Performance Networking Microkernel Powerful Application Protocol Support iControl – External Monitoring and Control iRules – Network Programming LanguageDate: 07. 05 2007F5 Training议程ƒ ƒ ƒ ƒ 应用交换机的作用 应用交换机产品的发展历史 F5 BIGIP 简介 讨论Date: 07. 05 2007F5 TrainingF5 BIGIP产品简介840010Gbps Platform数据中心整合68002-46400Gbps Platforms多服务应用3400500 Mbps1500- 1 Gbps Platforms应用交换Date: 07. 05 2007F5 TrainingBIG-IP LTM 1500ƒ 2个千兆光纤端口，4个千兆电口 ƒ 内置独立管理机-生产系统与管理系统分离，进一步提高 系统可靠性 ƒ 768MB内存，单CPU ƒ BIGIP 1500 LTM• 全面支持多应用负载均衡：12种负载均衡算法 • 可编程控制架构：50多个事件，200多个函数处理 • 内置100TPS SSL加速功能，独立NP处理SSL对称算法和非对称算 法 • 多种可扩展模块：SSL加速、带宽控制、内存Cache、HTTP压缩Date: 07. 05 2007F5 TrainingBIGIP LTM 3400ƒ 2个千兆光纤端口，8个千兆电口 ƒ 内置独立管理机-生产系统与管理系统分离，进一步提高系 统可靠性 ƒ Packet Velocity ASIC 2提供高性能四-七层处理 ƒ 1GB内存，超线程2.8Ghz CPU ƒ BIGIP 3400 LTM• • • • 全面支持多应用负载均衡：12种负载均衡算法 可编程控制架构：50多个事件，200多个函数处理 内置100TPS SSL加速功能，独立NP处理SSL对称算法和非对称算法 多种可扩展模块：SSL加速、带宽控制、内存Cache、HTTP压缩Date: 07. 05 2007F5 TrainingBIG-IP LTM 6400/6800ƒ ƒ ƒ ƒ ƒ4个千兆光纤端口，16个千兆电口 内置独立管理机-生产系统与管理系统分离，进一步提高系统可靠性 Packet Velocity ASIC 2提供高性能四-七层处理 2GB内存，双64位高速CPU BIGIP 6400 LTM • 全面支持多应用负载均衡：12种负载均衡算法 • 可编程控制架构：50多个事件，200多个函数处理 • 内置100TPS SSL加速功能，独立NP处理SSL对称算法和非对称算法 • 多种可扩展模块：SSL加速、带宽控制、内存Cache、HTTP压缩、 Application SecurityDate: 07. 05 2007F5 TrainingBIGIP LTM 8400ƒ 2个万兆端口，12个光/电千兆端口 ƒ 内置独立管理机-生产系统与管理系统分离，进一步 提高系统可靠性 ƒ Packet Velocity ASIC 10提供高性能四-七层处理 ƒ 高达10Gbps的吞吐能力 ƒ 2GB内存，双64位高速CPUDate: 07. 05 2007F5 TrainingBIGIP LTM的主要性能技术参数BIG-IP 1500 v9 四层会话数/秒 七层会话数/秒 最大吞吐能力 最大并发连接数 最大SSL TPS 最大 SSL 吞吐率 最大 SSL 并发连接数 最大压缩字节/秒 交换背板 60,000 22,000 500Mb/s 4 Million 2,000 500Mb/s 100,000 100Mb/s 14Gb/s BIG-IP 3400 v9 110,000 50,000 1Gb/s 4 Million 5,000 1Gb/s 200,000 500Mb/s 22 Gb/s BIG-IP 6400 v9 220,000 75,000 2Gb/s 8 Million 15,000 2Gb/s 500,000 2Gb/s 44 Gb/s BIG-IP 6800 v9 220,000 110,000 4Gb/s 8 Million 20,000 2Gb/s 500,000 2Gb/s 44 Gb/sDate: 07. 05 2007F5 Training用户 Users手机全新的体系结构 统一的网络/应用基础设施服务交付客户关 系管理 数据库 Siebel BEA应用Legacy .NET SAP个人数字助 理优化 安全笔记本 台式机流量管理 操作系统PeopleSoft IBM 企业资 源规划 SFA （销售 力量 自动化） 定制应用托管主机(TM/OS)Date: 07. 05 2007F5 Training能够对应用流进行管理• 独立的连接控制 • 支持所有的IP应用 • 高性能的应用构架 • 双向、全面的负载检查 • 基于会话的控制系统通用检查引擎（UIE）TM/OS 快速应用代理客户端 服务器端Date: 07. 05 2007F5 Training全新等级的智能特性基于数 据包针对单一通信作出反应、单向基于流TM/OS实时双向会话，在多个对象间传输 能够理解全部会话Date: 07. 05 2007F5 Training为网络注入智力 TMOS客户端HTTP TM filter TCP TM filter SSL TM filterTCP proxy服务器端TCP TM filterClient Server Side Side Received Send RequestRequestƒ 开放的一体化应用服务 ƒ 保证应用流畅 ƒ 无以伦比的性能 ƒ 结构化的管理能力Date: 07. 05 2007F5 Training最智能、最具适应性的解决方案iRules可编程的网络语言可编程 应用网络基于图形用户界面的应用简档（Profile）可重复策略统一的应用基础设施服务功能的适应性 及目标性安全 优化 交付 新的服务通用检查引擎（UIE）针对应用流的 完全可见性 及可控制性TM/OS 快速应用代理客户端压缩站点TCP优化 负载平衡服务器端Date: 07. 05 2007F5 TrainingBIG-IP-LTM-真正的应用交换机Date: 07. 05 2007F5 TrainingBIG-IP-LTM的工作模式用户请求 基于地址的流量 导向virtual addr192.168.101.1virtual addr192.168.101.2基于端口的流 量导向virtual server192.168.101.1:80virtual server192.168.101.1:443智能流量控制iRules pool(name= cgi_boxes)pool(name= asp_boxes)pool(name= ssl_boxes)（通过检查URL， Header，Cookie， TCP/UDP内容）membermembermembermembermembermembermembermembermember(server= (server= (server= 10.1.1.1:80) 10.1.1.2:80) 10.1.1.3:80)(server= (server= (server= 10.1.1.4:80) 10.1.1.5:80) 10.1.1.6:80)(server= (server= (server= 10.1.1.1:443) 10.1.1.2:443) 10.1.1.6:443)负载均衡Date: 07. 05 2007F5 TrainingBIG-IP-LTM基本功能-服务器负载均衡最多的负载均衡模式(12种) 其中观察模式,预测模式是F5的专利 会话保持技术最多(8种) 其中Cookie 会话保持技术向所有的 竞争对手收取专利费 服务器健康检查最彻底 专有的EAV、ECV健康检查模式 性能最好,速度最快: 270,000 S/S Lay4; 110,000 S/S Lay7;10Gbps; 会话保持数量第一达到:800万 支持最多的VIP : 4万个 唯一交换机厂商有开放的API1 2 3 3BIG-IP application switch combo Link Controller1 2Date: 07. 05 2007F5 Trainingƒ ƒƒƒƒ ƒƒ ƒ轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。

Radware配置手册目录一. Radware连接 (4)1.1 console连接 (4)1 .2 初始化 (4)1.3登录radware设备 (6)1.4通过WEB界面对设备进行管理 (7)二.网络层配置 (8)2.1配置IP地址 (8)2.2 Vlan划分 (8)2.3 Routing Table (10)三 Farm 管理 (12)四服务器管理 (15)五 Super Farm IP管理 (17)六 Cookie会话保持 (19)七 NAT配置 (21)八双机配置 (24)九其他配置(可选) (28)9.1 保存配置文件 (28)9.2 恢复配置文件 (29)9.3 用户名和密码管理 (30)9.4 Syslog (30)9.5 Telnet (31)9.6 WEB管理 (31)9.7 安全管理 (32)十命令行网络配置 (33)10.1 更改设备名称 (33)10.2 物理端口 (33)10.3 VLAN (33)10.4 Interface (34)十一命令行维护命令 (35)11.1 查看接口地址 (35)11.2 查看路由表 (35)11.3 查看CPU (35)11.4 查看WSD的全部配置 (36)11.5 查看当前设备的版本信息 (36)11.6 查看当前设备的License (36)11.7 查看端口流量 (36)11.8 查看2层端口状态 (36)11.9 显示日志信息 (36)一. Radware连接1.1 console连接通过console连接Radware设备radware AppDirector和电脑的连接：Console各参数如下：Bits per second: 19200Data bits: 8Parity: NoneStop bits: 1Flow Control: None1 .2 初始化给设备加电,在3秒内按任意键CPU: RadWare BOOMER - MPC740/750Active boot: 1DRAM size: 256MFlash size: 16MAltera version: 24BSP version: 6.00Creation date: Oct 11 2005, 16:34:37Press any key to stop auto-boot...3>> ?- print this list@ - boot (load and go)e - print fatal exceptionw - download via xmodema - print installed applications listi - set active applicationu - download to secondary boot via xmodem x - extract from an archive>q0(清空原有配置参数，恢复缺省值)>q1(清空原有配置参数，恢复缺省值)Q是隐含命令,防止用户误删除配置.> q0Erasing configuration ...Erasing Network Section ...done> q1Erasing configuration ...fl:/ - Volume is OKconfig file is not foundErasing Network Section ...done>@（设备重启）1.3登录radware设备在“>”提示符下，输入login命令，并接照提示输入正确的用户名及口令即可登录.>LoginUsername:radwarePassword:: ******如果登录成功，提示符将变为“#”说明：(1) 如果Console显示中存在乱码，请输入如下命令＃manage terminal grid-mode set disable。

Web.config中的Session配置节点設置ASP Session状态存于IIS的进程中，也就是inetinfo.exe这个程序。

所以当inetinfo.exe进程崩溃时，这些信息也就丢失。

另外，重起或者关闭IIS服务都会造成信息的丢失。

Session状态使用范围的局限性：刚一个用户从一个网站访问到另外一个网站时，这些Session信息并不会随之迁移过去。

例如：新浪网站的WWW服务器可能不止一个，一个用户登录之后要去各个频道浏览，但是每个频道都在不同的服务器上，如果想在这些WWW服务器共享Session信息怎么办呢？Cookie的依赖性：实际上客户端的Session信息是存储与Cookie中的，如果客户端完全禁用掉了Cookie功能，他也就不能享受到了Session提供的功能了。

鉴于ASP Session的以上缺陷，微软的设计者们在设计开发 Session时进行了相应的改进，完全克服了以上缺陷，使得 Session成为了一个更加强大的功能。

Web.config有两种，分别是服务器配置文件和Web应用程序配置文件，他们都名为Web.config。

在这个配置文件中会保存当前IIS服务器中网页的使用哪种语言编写的、应用程序安全认证模式、Session信息存储方式的一系列信息。

这些信息是使用XML语法保存的，如果想对其编辑，使用文本编辑器就行了。

其中服务器配置文件会对IIS服务器下所有的站点中的所有应用程序起作用。

在.NET Framework 1.0中，服务器的Web.config文件是存在：\WinNT\\Framework\v1.0.3705中的。

而Web应用程序配置文件Web.config则保存在各个Web应用程序中。

例如：当前网站的根目录\Inetpub\wwwroot，而当前的Web应用程序为MyApplication，则Web应用程序根目录就应为：\Inetpub\wwwroot\MyApplication。

HTTP是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。

它于1990年提出，经过几年的使用与发展，得到不断地完善和扩展。

目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工作正在进行之中，而且HTTP-NG(Next Generation of HTTP)的建议已经提出。

HTTP协议的主要特点可概括如下：1.支持客户/服务器模式。

2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。

请求方法常用的有GET、HEAD、POST。

每种方法规定了客户与服务器联系的类型不同。

由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。

3.灵活：HTTP允许传输任意类型的数据对象。

正在传输的类型由Content-Type加以标记。

4.无连接：无连接的含义是限制每次连接只处理一个请求。

服务器处理完客户的请求，并收到客户的应答后，即断开连接。

采用这种方式可以节省传输时间。

5.无状态：HTTP协议是无状态协议。

无状态是指协议对于事务处理没有记忆能力。

缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。

另一方面，在服务器不需要先前信息时它的应答就较快。

一、HTTP协议（URL）http（超文本传输协议）是一个基于请求与响应模式的、无状态的、应用层的协议，常基于TCP的连接方式，HTTP1.1版本中给出一种持续连接的机制，绝大多数的Web开发，都是构建在HTTP协议之上的Web应用。

HTTP URL (URL是一种特殊类型的URI，包含了用于查找某个资源的足够的信息)的格式如下：http://host[":"port][abs_path]二、HTTP协议的请求http请求由三部分组成，分别是：请求行、消息报头、请求正文1、请求行以一个方法符号开头，以空格分开，后面跟着请求的URI和协议的版本，格式如下：Method Request-URI HTTP-Version CRLF其中Method表示请求方法；Request-URI是一个统一资源标识符；HTTP-Version表示请求的HTTP协议版本；CRLF表示回车和换行（除了作为结尾的CRLF外，不允许出现单独的CR或LF字符）。

.文档号：WPTP0001版本号：1.0保密级别：一般秘密机密绝密研发部RealmeShow（1.0）压力测试手册影元设计（苏州工业园区）有限公司2005年9月11日研发部RealmeShow压力测试报告编制：审核：批准：2005年9月11日目录压力测试报告 (I)1简介 (1)1.1目的 (1)1.2项目信息 (1)1.3测试范围 (1)2测试资源 (1)2.1人力资源 (1)2.2测试环境 (1)2.3测试工具 (2)2.4测试方案 (2)1简介1.1目的为了跟踪项目压力测试情况，让开发人员和测试人员查看项目的测试结果，更好的对后期工作进行安排。

1.2项目信息项目名称：RealmeShow版本：1.0基线号：RealmeShow1.0_09111.3测试范围主要是测试服务器的性能，在多个客户端同时连接时系统的性能指标，以及客户端的运行情况。

2测试资源2.1人力资源下表列出了此项目在测试中的计划人员安排：2.2测试环境下表列出了测试的系统环境：2.3测试工具下表列出了测试要使用到的工具：表2-1 测试工具2.4测试方案压力测试使用5台客户端，分别在不同的网口，每台客户端模拟120，100，80，60个连接，运行时间为30分钟，分别运行了5个用户场景（首页、论坛页面、等几个主要页面）。

察看不同连接时服务器的响应情况，服务器性能指标、网络带宽消耗指标等，并作统计，找出潜在的问题，以便下一轮系统优化。

Web网站压力测试教程详解 2009年07月06日 09:29 文本Tag：软件测试性能测试 Web测试压力测试【IT168技术文档】Web 服务处于分布式计算的核心位置，它们之间的交互通常很难测试。

分布式开发、大型的开发者团队以及对代码日益组件化的期望都有可能使 Web 服务的开发变得越来越容易隐藏错误。

这些类型的错误极难检测出来。

压力测试是检测这类代码错误的一种有效方法，但是只有在压力系统设计得比较有效的情况下才能发挥作用。

第1章体系结构1.下列说法中正确的是（ D ）。

A．城域网是连接广域网而覆盖园区的网络B．城域网是为淘汰局域网和广域网而提出的一种网络技术C．在较小范围内部署的一定是局域网，在较大范围内部署的一定是广域网D．局域网是基于广播技术发展起来的，广域网是基于交换技术发展起来的2.目前的校园网接入Internet的主要方式是（A ）。

A．LAN B．MANC．W AN D．PAN3.下列选项中，不属于网络体系结构中所描述的内容是（C ）。

A．网络的层次B．每一层使用的协议C．协议的内部实现细节D．每一层必须完成的功能4.在OSI参考模型中，自下而上第一个提供端到端服务的层次是（B ）。

A．数据链路层B．传输层C．会话层D．应用层5.在OSI参考模型中，直接为会话层提供服务的是（C ）A．应用层B．表示层C．传输层D．网络层6.在OSI参考模型中，下列功能需要由应用层的相邻层实现的是（B ）A．会话管理B．数据格式转换C．路由选择D．可靠数据传输第2章应用层1.在WWW中，标识分布在整个Internet上的文档采用的是（A ）。

A．URL B．HTTP C．HTML D．搜索引擎2.当仅需Web服务器对HTTP报文进行响应，但并不需要返回请求对象时，HTTP请求报文应该使用的方法是（ D ）。

A．GET B．PUT C．POST D．HEAD3.下列关于Cookie的说法中错误的是（A ）。

A．Cookie存储在服务器端B．Cookie是服务器产生的C．Cookie会威胁客户的隐私D．Cookie的作用是跟踪客户的访问和状态4.下列说法中错误的是（D ）。

A．HTTP协议是一个无状态协议B．HTTP报文使用HEAD方法时实体主体为空C．HTTP报文使用HEAD方法时可以进行故障跟踪D．利用HTTP协议只能传输HTML文件5.HTTP非持久连接中读取一个包含100个图片的对象的Web页面，需要打开和关闭100次TCP连接。