java反序列化漏洞解决方案

最新推荐文章于 2024-08-13 14:40:36 发布
最新推荐文章于 2024-08-13 14:40:36 发布
阅读量6.4k 收藏 2
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OXiaoMianYiJiu/article/details/50562990
版权

测解决方案是针对weblogic10.3.6.0版本的

  方案一:
  删除weblogic中com.bea.core.apache.commons.collections_3.2.0.jar包中的InvokerTransformer.class这个class文件,即可解决。
        位置为:C:\Oracle\Middleware\modules下
  方案二:
        为weblogic打补丁,我们的weblogic版本为10.3.6.0打补丁版本为:

        p20780171_1036_Generic (4).zip

        p22248372_1036012_Generic (1).zip
  我用的是方案一解决这个问题,方案二估计也可,但没经过测试,以上仅供各位参考。



打补丁步骤:

 1、先把p20780171_1036_Generic (2).zip、p22248372_1036012_Generic.zip解压到E:\Oracle\Middleware\utils\bsu\cache_dir

  2、bsu.cmd -install -patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=EJUW -prod_dir=C:\Oracle\Middleware\wlserver_10.3

注:

 bsu.sh -install -patch_download_dir={MW_HOME}/util/bsu/cache_dir -patchlist={PATCH_ID} -prod_dir={MW_HOME}/{WL_HOME}
(命令中<WL_HOME>是您Weblogic的安装目录,ZLNA是对应补丁的Patch号) 
 例如:./bsu.sh -install -patch_download_dir=/bea/weblogic/utils/bsu/cache_dir -patchlist=ZLNA -prod_dir=/bea/weblogic/wlserver_10.3



漏洞验证方法:

  检测工具为:CommonsCollectionsTools.jar;
  在java环境下,cmd中使用命令: java -jar CommonsCollectionsTools.jar weblogic ip(--服务器ip) Port(--要测试端口好) /Tmp(要存放目录)/1.txt(文件名)

  例如:C:\>java -jar CommonsCollectionsTools.jar weblogic 192.168.0.209 6001 /bea/ceshi.txt   此文件生成在被检测的服务器上



以上两种方案长时间反馈,方案一失效,采用方案二


补丁和检测工具存在百度网盘中


针对反序列化漏洞最新的补丁修补方案如下:

针对于weblogic10.3.6版本
第一步
解压p26519424_1036_Generic.zip文件到{MW_HOME}/util/bsu/cache_dir


第二步(如果没有打过ZLNA、EJUW两个补丁的,此步骤可略过)
1、./bsu.sh -remove -patchlist=ZLNA -prod_dir=/bea/weblogic/Oracle/Middleware/wlserver_10.3
2、./bsu.sh -remove -patchlist=EJUW -prod_dir=/bea/weblogic/Oracle/Middleware/wlserver_10.3
备注:FMJJ与ZLNA、EJUW冲突,必须先移除ZLNA,再移除EJUW


第三步
1、./bsu.sh -install -patch_download_dir=/bea/weblogic/Oracle/Middleware/utils/bsu/cache_dir -patchlist=FMJJ -prod_dir=/bea/weblogic/Oracle/Middleware/wlserver_10.3


备注:打补丁之前要停掉所有weblogic服务


笑面依旧
关注
专栏目录
Java反序列化漏洞修复方案
卉鱼程序人生
04-18 9565
据Oracle、Cert及我们自测,受影响版本包括但不限于: - 9.2.3.0 - 9.2.4.0 - 10.0.0.0 - 10.0.1.0 - 10.0.2.0 - 10.2.6.0 - 10.3.0.0 - 10.3.1.0 - 10.3.2.0 - 10.3.3.0 - 10.3.4.0 - 10.3.5.0 - 10.3.6.0 - 12.1.1.0 - 1
java反序列化漏洞挖掘
qq_45001989的博客
09-08 1164
java反序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定反序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5397
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
最新发布
小司机的奥拓
08-13 862
反序列化漏洞是一种安全漏洞,它允许攻击者将恶意代码注入到应用程序中。这种漏洞通常发生在应用程序从不安全的来源反序列化数据时。当应用程序反序列化数据时,它将数据从一种格式(例如JSON或XML)转换为另一种格式(例如对象或列表)。如果应用程序不检查数据的安全性,攻击者就可以将恶意代码注入到数据中。当应用程序反序列化数据时,恶意代码就会被执行,这可能导致应用程序被攻陷。首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法。
修复weblogic的JAVA反序列化漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1434
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
java序列化_Java反序列化漏洞总结
weixin_39581845的博客
11-14 2722
前言什么是序列化和反序列化Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。反序列化就是通过序列化后的字段还原成这个对象本身。但标识不被序列化的字段是不会被还原的。序列化有什么用1)网站相应的session对象存储在硬盘上,那么保存在session中的内容就必须实现相关的序列化操作。2)如果使...
Java反序列化漏洞
MRS_jianai的博客
02-19 742
Java反序列化源码复现
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
04-20
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案 Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
复现java反序列化漏洞的方法
weixin_47623655的博客
03-30 1654
在本文中,我们学习了如何使用ysoserial来生成恶意payload,以及如何利用Python的SimpleHTTPServer模块来搭建一个HTTP服务器来接收Tomcat发送的数据包。当反序列化一个包含恶意代码的序列化数据时,攻击者可以利用该漏洞在目标系统上执行任意代码,导致系统崩溃或数据泄露。通过上面的步骤,我们可以成功地复现Java反序列化漏洞,并在使用ysoserial生成恶意payload之后,我们需要将其发送到目标服务器进行验证漏洞是否存在。接下来,我们需要构造一个包含这个类的序列化数据。
java反序列化漏洞修复方案,看完必懂
m0_56662269的博客
06-27 594
数据库 1. MySQL 索引使用有哪些注意事项呢? 可以从三个维度回答这个问题:索引哪些情况会失效,索引不适合哪些场景,索引规则 索引哪些情况会失效 查询条件包含or,可能导致索引失效 如何字段类型是字符串,where时一定用引号括起来,否则索引失效 like通配符可能导致索引失效。 联合索引,查询时的条件列不是联合索引中的第一个列,索引失效。 在索引列上使用mysql的内置函数,索引失效。 对索引列运算(如,+、-、*、/),索引失效。 索引字段上使用(!= 或者 < >,not in)时
structs2最新远程执行漏洞S2-057、反序列化漏洞等修复方案
08-30
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。特给出struct2.0-2.3.35的修复方案
Java 反序列化漏洞
qq_61553520的博客
05-24 5208
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
java代码审计之浅谈Java反序列化漏洞修复方案
liguangyao213的博客
02-19 4120
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即
JAVA反序列化漏洞解决办法
weixin_30426957的博客
02-18 286
一、漏洞描述: 近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Common...
JAVA反序列化漏洞修复解决方法
05-05 2985
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
Java 安全之反序列化漏洞
yggcwhat
06-04 555
Java 安全之反序列化漏洞
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3202
java反序列化参考
Java反序列化漏洞详解
“此资源主要探讨了Java反序列化漏洞,包括序列化和反序列化的概念、应用场景以及如何实现Java对象的序列化。同时,提到了类实现序列化接口的必要条件,并提供了一个简单的序列化实体类示例。” 在Java编程中,序列...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值