weblogic容器网站和findsomething的冲突导致无限跳转登录页面的问题

已于 2024-04-07 04:03:05 修改
阅读量721 收藏 11
点赞数 11
文章标签: java 服务器 开发语言
于 2024-04-07 03:56:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaowasq/article/details/137445137
版权

weblogic容器网站和findsomething的冲突导致无限跳转登录页面的问题

备注:

简单分析,若有误,敬请指出

问题描述:

虚拟机Weblogic部署完成后,物理机登陆后点击返回登陆页面_为什么我搭建的weblogic网站每次都跳转登录界面-CSDN博客

请添加图片描述

随便点击后直接返回登陆页面
请添加图片描述

使用的是vulhub的weblogic/CVE-2018-2894靶场(证实和靶场无关)

- 猜想:
findsomething插件的实现有问题,影响到了正常发包,导致如下现象(错误的猜想)

现象:
登录后台后,点击任意按钮,服务端需要用户再次登录,无限循环。

问题解决:

不需要换浏览器,暂时关闭findsomething插件即可。

解决过程

经过测试,抓包,我发现这是一个巧合导致的问题。

  1. findesomething插件收集接口的过程中,会自动顺序请求收集到的jsp接口;
  2. 插件自动请求了logout的jsp,导致退出了登录。

详见 最后的复盘。

抓包:

  • 关闭插件:
    请添加图片描述

  • 打开findsomething插件(破案):
    请添加图片描述
    请添加图片描述

复盘
  1. findsomething在用户登录后,第一时间自动请求挖掘到的jsp(为了获取更多的接口,信息收集
  2. 那么观察我们的请求jsp,观察我们的会话Cookie,还有findsomething收集到的Path,我们发现
  3. findsomething 按照 Path 列举出来的结果,顺序请求jsp, 而第一个jsp——/console/jsp/common/warnuserlockheld.jsp 这个接口302重定向到了/console/jsp/common/logout.jsp 接口, 其作用就是重新设置SESSION——我们丢失了登陆状态的SESSION,造成登出。

因此,我们点击按钮之前就已经登出,点击按钮后的请求,只是重定向回登陆页面,要求用户重新登录。

Geneo
关注
【信息提取】FindSomething 浏览器插件
qq_47493625的博客
02-25 4848
在网页的源代码或js中找到一些有趣的东西用于快速在网页的html源码或js代码中提取一些有趣的信息,包括可能请求的资源、接口的url,可能请求的ip和域名,泄漏的证件号、手机号、邮箱等信息。
一款好用的被动式信息泄漏检测插件
潇湘信安的博客
07-18 1169
FindSomething由陌陌安全残笑老哥开发的浏览器扩展,是一款优秀的被动式信息收集工具,用于展示浏览器打开的页面相关的网站资产和敏感信息。
FindSomething 开源项目教程
最新发布
gitblog_00669的博客
08-16 416
FindSomething 开源项目教程 FindSomething基于chrome、firefox插件的被动式信息泄漏检测工具项目地址:https://gitcode.com/gh_mirrors/fi/FindSomething 项目介绍 FindSomething 是一个基于 Chrome 和 Firefox 浏览器的插件,用于被动式信息泄漏检测。该工具能够快速在网页的 HTML 源码或 ...
JS文件中的敏感信息+swagger接口测试
yggcwhat
11-07 3114
JS文件中的敏感信息+swagger接口测试
渗透测试工具及插件第一期-FindSomething
weixin_45802999的博客
04-18 2265
这一期给大家讲一个浏览器插件FindSomething,可以说是好用,快速出洞(前提是存在的情况下),他的原理是什么呢,其实就是爬取网站中的源码和JS文件,看是否存在未授权访问的API接口,可以说是出道及巅峰很省事,废话不多说,给大家演示操作。3、你以为只有这些吗,那就大错特错,想想,万一泄露的接口路径有几百上千个你真的要拿手去一个一个拼接吗?2、这时候打开你要测试的系统,点开他,你会发现它里面爬取了很多路径,嘿嘿,这时候就可以把这些路径复制下来拼接到网站域名后面,如果存在未授权接口,恭喜你找到了漏洞。
Web框架中间件插件&BurpSuite&浏览器&被动&主动探针[武装浏览器]
weixin_54882883的博客
08-25 2226
它检测内容管理系统,电子商务平台,Web框架,服务器软件,分析工具等。通过注释可以发现一些利用的内容,有的程序员喜欢写上这个是什么功能,你就可以猜出后台或者隐藏的功能,有的还会贴上后台地址啥,配置文件内网域名各种吧。该工具用于快速在网页的html源码或js代码中提取一些有趣的信息,包括可能请求的资源、接口的url,可能请求的ip和域名,泄漏的证件号、手机号、邮箱等信息。这个工具他集成了中间件,等版本信息,漏洞信息,url,标识头等信息,WAF/CDN识别,密匙等信息,多种信息的功能上集合的插件。...
关于weblogic部署Java项目的包冲突问题的解决
08-26
"关于weblogic部署Java项目的包冲突问题的解决" Weblogic是Oracle公司出品的一款Java EE应用服务器,广泛应用于企业级应用系统中。然而,在部署Java项目到Weblogic服务器时,经常会遇到包冲突问题导致应用程序...
weblogic部署项目jar冲突解决
03-09
在将一个已经在Tomcat上正常运行的应用迁移到WebLogic时,可能会遇到各种问题,其中最常见的是配置问题和JAR包冲突。 标题"weblogic部署项目jar冲突解决"指出的核心问题是JAR包冲突。这是因为不同的应用服务器可能...
将应用部署在weblogic中于axis2冲突问题及解决方案
05-06
"将应用部署在Weblogic中与Axis2冲突问题及解决方案" 问题描述 在将应用部署到Weblogic Server 10.3时,出现了一个错误,抛出ClassCastException异常,具体错误信息为: `java.lang.ClassCastException: ...
weblogic8.1安装和配置
06-17
### WebLogic 8.1 的安装与配置详细指南 #### 一、WebLogic 8.1 安装步骤详解 **1.1 开始安装** - **欢迎界面**:启动安装程序后,首先会遇到一个欢迎界面,确认无误后点击【Next】。 - **许可协议**:“License...
weblogic12.2.1.3 + Eureka Server Jar包冲突问题的解决方案
syau552king的博客
08-06 2253
@[TOC] 爬坑手册 坑的前世今生 不算近期的近期,开发了一个项目,具体功能和这个坑没什么关系,就不说了。使用了Spring Boot **2.1.6.RELEASE作为项目脚手架,Eureka作为注册中心。作为一个使用微服务的项目,通常的启动方式都是将服务打成jar包,然后通过docker部署启动,如果是这样,就没有后面的坑了,可惜天不遂人愿,客户要求必须使用WebLogic作为服务的容器中间件,于是坑来了…… 当WebLogic遇上Eureka…… WebLogic版本:12.2.1.3 JDK:1
MyAlerts helps you to find something !-crx插件
04-04
语言:English myArerts帮助您找到某些东西:被盗的自行车,新的家,酷项目烘烤 web是很棒的,你可以找到你的新家,你可以通过凉爽的二手车 ,您可以帮助项目随着众筹。 但是Web也被坏人用来销售被盗的产品。 MyAlerts将帮助您检索偷偷的自行车。 它将帮助您找到新的家。 它将帮助您找到一个很酷的礼物。 它还可以通过众筹,帮助您支持酷炫的项目。 首次访问http://myalerts.org并创建一个帐户。 然后安装扩展名,访问像Kickstarter或Leboncoin等网站,然后单击“退役”以捕获当前的搜索。 然后返回http://myalerts.org以靠近实时结果。 如果您希望由应用程序管理更多网站,请与我联系。
MyAlerts可以帮助你找到一些东西!「MyAlerts helps you to find something !」-crx插件
03-19
MyAlerts可以帮助你找到一些东西:被盗的自行车,新的家,很酷的项目来烘烤 网络很棒,您可以找到自己的新家,可以使用凉爽的二手车,还可以通过众筹帮助项目发展。但是,坏人也使用网络来销售被盗的产品 MyAlerts将帮助您取回被盗的自行车。这将帮助您找到新家。这将帮助您找到一个很酷的礼物。它还将帮助您通过众筹来支持一个很棒的项目。首先访问http://myalerts.org并创建一个帐户。然后安装扩展程序,访问kickstarter或leboncoin等网站,然后单击扩展按钮即可捕获当前搜索。然后返回http://myalerts.org以获得接近实时的结果。如果您想通过该应用程序管理更多网站,请与我联系。 支持语言:English
js敏感信息泄露检测工具
qq_54030686的博客
05-26 6846
本篇博客主要对四个工具,findsomething,jsfinder,LinkFinder,SecretFinder四款工具进行使用,本篇博客并未有任何贬低工具的意味,正则表达式不一样,获取到的结果肯定会有所偏差,不同网址下也会有不用的效果,以下仅供参考,不喜可联系进行删除 一下均已https://security.immomo.com/blog/145该网址进行检测 (也就是出品findsomething这款工具的师傅) 1,findsomething共检测出来7个路径 https://github.co
web安全之未授权漏洞批量检测
菜鸟学安全的博客
04-14 2948
web安全使用findsomething工具批量测试未授权访问漏洞。
Vulnhub练习 DC-1靶机
qq_54030686的博客
05-30 900
Vulnhub练习 DC-1靶机 下载链接 https://www.vulnhub.com/entry/dc-1,292/ 建议使用迅雷进行下载,相较于浏览器下载,会快一些 使用nat模式,搭建虚拟局域网,建议采用VMnet1 首先进行主机发现 nmap -sS 192.168.43.0/24 使用ping检测43整个C端内主机存活情况 端口检测,这边提供两个方法,nmap和goby Nmap -A 192.168.43.238 -T4 以较快的速度进行端口及服务探测 Goby的话将ip丢进去等结果
JS文件中的秘密
siu~
05-16 3833
JS文件是JavaScript文件的缩写,是一种用于网页开发的脚本语言文件。JS文件通常包含一些函数和变量,可以通过调用这些函数和变量来实现网页中的动态效果和交互。常见的JS文件包括jQuery、React、Vue等库和框架,它们提供了丰富的功能和组件,可以大大提高网页开发的效率和质量。在Javascript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。
探索数据海洋:FindSomething - 智能信息提取利器
gitblog_00089的博客
05-17 589
探索数据海洋:FindSomething - 智能信息提取利器 FindSomething基于chrome、firefox插件的被动式信息泄漏检测工具项目地址:https://gitcode.com/gh_mirrors/fi/FindSomething 项目介绍 在信息化时代,每天我们都在网络上浏览无数的数据,但如何有效地提取有价值的信息呢?这就是FindSomething——一个基于浏览器插...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值