WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)

最新推荐文章于 2024-08-06 20:43:15 发布
最新推荐文章于 2024-08-06 20:43:15 发布
阅读量1.3w 收藏 3
点赞数 1
分类专栏: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013341688/article/details/51536119
版权

刚刚完成了一个项目,在上线之前请求安全部门进行漏洞扫描,其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)”,按照扫描结果的提示解决方案,成功解决了,先分享一下。


详细描述 Apache Commons Collections可以扩展或增加Java集合框架,是Commons Proper的一个组件,该组件是一个可重复利用Java组件库。

Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入,其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞,这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法,在最终类型检查之前执行Java函数或字节码(包括调用Runtim
最低0.47元/天 解锁文章
草衣
关注
专栏目录
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437) 复现
yukinorong的博客
06-29 3261
基础知识 序列化和反序列化 反序列化漏洞原因 在Java反序列化中,会调用被反序列化的readObject方法,当readObject方法书写不当时就会引发漏洞反序列化的检测 基础库中隐藏的反序列化漏洞 优秀的Java开发人员一般会按照安全编程规范进行编程,很大程度上减少了反序列化漏洞的产生。并且一些成熟的Java框架比如Spring MVC、Struts2等,都有相应的防范反序列化的机制。如果仅仅是开发失误,可能很少会产生反序列化漏洞,即使产生,其绕过方法、利用方式也较为复杂。但
IBM WebSphere Commons Collections组件反序列化漏洞CVE-2015-7450)【原理扫描】
qq_35335755的博客
10-25 3986
IBM发布的Websphere安全公告: https://www.ibm.com/support/pages/security-bulletin-vulnerability-apache-commons-affects-ibm-websphere-application-server-cve-2015-7450 摘要 WebSphere Application Server和W...
[应用漏洞]CVE-2015-7450 WebSphere命令执行
不忘初心,护天下安全!
07-28 4653
本文参考https://mp.weixin.qq.com/s/nfdyCKMP-dkTWx5SIMX1bg 一、WebSphere WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。WebSphere 提供了可靠、灵活和健壮的软件。它是一个模块化的平台,基于业界支持的开放标准。可以通过受信任和持久的接口,将现有资产插入 WebSphere,可以继续扩展环境。WebSph
Jboss漏洞CVE-2015-7501)
最新发布
qq_68186313的博客
08-06 194
这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象, 然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码。1、访问,返回如下,说明接⼝开放,此接⼝存在反序列化漏洞。2、下载 ysoserial ⼯具进⾏漏洞利⽤。
Websphere远程代码执行-CVE-2015-7450
SunshineBoY__的博客
08-14 2312
WebSphere 简介 WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。WebSphere 提供了可靠、灵活和健壮的软件。 漏洞影响版本 IBM Websphere Application Server 7.0 IBM Websphere Application Server 6.2 漏洞复现 WebSphere反序列化漏洞默认配置发生在通信端口8880,如果是本地搭
Commons Collections Java反序列化漏洞利用
parker的专栏
04-11 2506
0x00 漏洞原理与成因  漏洞作者写的技术分析:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ 腾讯TSRC:  https://security.t
中间件安全-CVE 复现&K8s&Docker&Jetty&Websphere漏洞复现
rumil的博客
10-25 4995
IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等。Docker 容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行 POC 或 EXP,就可以返回一个宿主机的高权限 Shell,并拿到宿主机的。root 权限,可以直接操作宿主机文件。
第六十一天 服务攻防-中间件安全&CVE复现&K8S&Docker&Jetty&Websphere
ZL_1618的博客
04-11 1015
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
weblogic10.3.6补丁(java反序列化漏洞更新步骤).docx
09-10
近日,Apache Commons Collections 等公共库被发现存在 Java 反序列化漏洞,WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 等主流中间件和框架均受到影响,攻击者利用该漏洞可以远程执行操作系统命令,入侵应用系统...
java反序列化漏洞挖掘
qq_45001989的博客
09-08 1164
java反序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定反序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom; 包含翻译后的API文档:commons-collections4-4.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.commons:commons-collections4:4.1; 标签:apache、commons、collections4、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
commons-collections4-4.1-bin.zip
01-16
commonS操作源码及jar包,没有外部依赖,jar包比较全
commons-collections-3.2.2-
11-01
用来修补weblogic的反序列化漏洞,重命名后替换之前Middleware\modules下的的3.2.0版
commons-collections4-4.1
11-01
commons-collections4-4.1,用来修复java反序列漏洞,重命名后替换之前Middleware\modules下的的3.2.0版
信息安全技术:Java反序列化漏洞.pptx
11-01
2015年1月28日,Gabriel Lawrence和Chris Frohoff在AppSecCali会议上展示了如何利用Apache Commons Collections库来实现Java反序列化漏洞的任意代码执行。然而,这个发现并未立即引起广泛注意,直到同年11月,...
常见中间件漏洞复现(上)
Askshhbs的博客
04-26 1057
面试的时候会经常问关于中间件的漏洞,这里做一下漏洞的复现巩固一下 在虚拟机中安装docker环境具体就不演示了Vulhub - Docker-Compose file for vulnerability environment Tomcat漏洞 Tomcat 任意文件写入(CVE-2017-12615) 影响范围: Tomcat 7.0.0-7.0.81(默认配置) 测试环境:Apache Tomcat v8.5.39 漏洞本质:Tomcat配置文件/conf/web.xml 配置了可写(rea
古早但有用:CISA 发布15个正遭利用的老旧漏洞
smellycat000的专栏
01-12 698
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施安全局 (CISA) 更新已知的已利用漏洞列表,新增了15个常用于攻击联邦企业的攻击向量。这15个漏洞的严重性和披...
使用Eclipse的Validator for WS-Policy调试IBM WebSphere问题
"在Eclipse中结合IBM WebSphere Application Server使用Validator for WS-Policy" 本文主要探讨了如何在Eclipse集成开发环境中利用Validator for WS-Policy插件来诊断和调试与WS-Policy相关的问题,特别是在IBM ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值