Weblogic的几个安全隐患

最新推荐文章于 2024-08-30 10:42:53 发布
最新推荐文章于 2024-08-30 10:42:53 发布
阅读量361 收藏
点赞数
文章标签: weblogic 服务器 数据库 server google system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java169/article/details/2475996
版权
<script type="text/javascript"> google_ad_client = "pub-8800625213955058"; /* 336x280, 创建于 07-11-21 */ google_ad_slot = "0989131976"; google_ad_width = 336; google_ad_height = 280; // </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> Weblogic6.1 server存在guest用户(密码guest),用guest/guest访问远程服务器后,本地会生成一个weblogic.security.acl.internal.AuthenticatedUser对象,该对象中用来标志用户身份有效性的用户签名为远程系统system用户的密码、用户账号、对象生成时间三者的信息摘要。AuthenticatedUser对象是可序列化对象,通过重写本地的AuthenticatedUser类,可以读出对象中的签名、账号、生成时间,然后可能暴力破解远程系统的system用户密码。 Weblogic6.1 server缺省允许用户匿名访问服务器上的部分信息。如匿名用户可以通过Context列出服务器上部署的各种资源,其中最敏感的应属datasource。这样,用户完全可以根据datasource取得数据库连接,从连接中读出数据库中表以及表结构,从而可以像访问本地数据库一样访问企业应用部署在防火墙后的数据库。当然,应用可以对datasource以及其他资源加上安全限制,但很少有人这么做。 Weblogic5.1、Weblogic6.0中也有这个问题,Weblogic7.0以后取消了guest用户,相对较为安全。 Weblogic6.1 server域主服务器(administration server)在启动的时候,会缺省部署几个应用: console.war, wl_management_internal1.war, wl_management_internal2.war。console的作用大家都清楚,但后两个internal的应用的用途耐人寻味,大家可以反编译其中的class看看。通过访问wl_management_internal2,远程用户不经授权就可以下载服务器上的部署的应用包,读取敏感的配置文件或者操作系统的其他文件,甚至可以上载部署自己的应用,可以说是对服务器的完全控制。Weblogic的其他版本如Weblogic6.0、Weblogic7.0也存在该漏洞。 相关工具请往 http://simplaman.zj.com
java169
关注
2024王道数据结构考研习题汇总_王道考研数据结构习题册
2401_84239830的博客
04-12 357
但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
如何启用Weblogic 管理端口以及屏蔽默认管理console页面
u010179852的博客
03-21 8721
前几日,公司因要上新项目,新项目的环境是JDK1.8、MySQL8.0、Weblogic11g(12C也有),被客户要求要有过三级等保,无奈之下只能要求第三方安全测评公司进行安全测试。在对Weblogic进行检测时,发现console使用与项目相同的端口,且外网可访问,这就存在很大的安全隐患,就此安全事故,经过翻阅大量文档后,总结如下,希望能够帮助到各位粉丝。 首先启用管理端口必须启用SSL安全链接,这就必须要用到安全证书,我们可以通过以下方式来生成我们可用的服务器证书(JKS) PS:keytool 工具
WebLogic常见的几种漏洞
a96482的博客
08-10 1759
该漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/_async/AsyncResponseService路径下传入恶意的xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,实现远程命令执行,攻击者可以进而获得整台服务器的权限。这里我们需要访问一个任意上传jsp文件漏洞功能点的目录位置,扫描目录的时候没有扫出来,但是你上网搜素这个CVE-2018-2894都是可以找到这个目录名字的,/ws_utc/config.do(未授权访问。
weblogic 安全漏洞问题解决
weixin_45866907的博客
07-13 145
weblogic 安全漏洞问题解决
weblogic安全问题
peng_kan的博客
04-18 1674
在web项目的web.xml文件中,加入以下部分.<security-constraint> <web-resource-collection> <web-resource-name>Success</web-resource-name> <url-pattern>/welcome
WebLogic 之安全配置_weblogic安全配置
2401_84254530的博客
04-12 563
为防止恶意的攻击,使得攻击者难以找到数据库并将其定位,使用 HTTP 协议的设备, 应更改 WebLogic服务器默认端口。 加固方法:登录控制台选择[环境]–>[服务器]–>服务器选择–>[配置]–>[一般信息],勾选"启用监听端口",并修改默认端口号为非7001的数值(例如:8001)。查看weblogic安装目录下的weblogic.properties配置文件,将weblogic.httpd.indexDirectories=false设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用
WebLogic系统强化安全措施与账户管理规范
这份规范发布于2009年5月,主要包括以下几个关键部分: 1. **账号管理和认证授权**: - **SHG-WebLogic-01-01-01**:强调了服务器启动账户的管理,目的是防止WebLogic以特权用户身份运行,如root,以避免应用服务器...
weblogic dump 学习
06-12
WebLogic内部的监控可以从以下几个方面进行: - **JVM优化检查**:检查JVM的最大和最小堆内存设置是否合理,GC算法是否适当。 - **GC状态检查**:通过WebLogic控制台查看JVM的空闲内存变化情况,GC的回收情况,也...
weblogic--反序列化漏洞测试Test
10-19
在"weblogic--反序列化漏洞测试Test"的场景中,我们可以深入探讨以下几个关键知识点: 1. **Java序列化机制**:Java序列化是将对象转换为字节流的过程,便于存储或在网络上传输。反序列化则是这个过程的逆向操作,...
网络安全售前入门06安全服务——基线检测服务方案
最新发布
打工人
08-30 1774
安全基线检查可以帮助单位认清自身风险现状和漏洞隐患,使业务系统的风险维持在可控范围内。根本目的是保障业务系统的安全,是为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险而制定的安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。
weblogic系统加固规范
03-07
weblogic系统加固规范,系统加固规范,系统漏洞检查指导
【中间件安全】Weblogic 安全加固规范
12-14 6481
1. 适用情况 适用于使用Weblogic进行部署的Web网站。 2. 技能要求 熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署; 2、找到Weblogic站点位置 4. 详细操作 4.1 控制台用户设置 1、用户弱口令修改 ...
【中间件加固】Weblogic安全加固规范
时乙的博客
11-05 1857
1. 适用情况 适用于使用Weblogic进行部署的Web网站。 2. 技能要求 熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署; 2、找到Weblogic站点位置 4. 详细操作 4.1 控制台用户设置 1、用户弱口令修改 2、用户账号锁定设置 3、设置密码策略 安全领域>myrealm>提供程序>..
[转载]揭开WebLogic Web服务安全性的面纱
congji3817的博客
05-25 194
揭开WebLogic Web服务安全性的面纱安全性是我们大多数客户优先考虑的问题。随着越来越多的客户采用Web服务,他们发现,他们需要了解如何保护Web服务,以及使用何种身份验证机制。为了保持Web服务的开放性并支持多种客户端类...
选择哪种Web服务器WebLogic vs Undertow vs Tomcat vs Nginx对比分析
04-07 2051
WebLogic、Undertow、Tomcat和Nginx是常用的Web服务器和应用程序服务器。它们具有不同的功能、应用场景、优缺点等方面的特点,本文将对它们进行详细的比较。
weblogic大量功能慢导致的问题
关注系统性能调优
01-02 5807
现场报节点不能使用。 #### > <[STUCK] ExecuteThread: '59' for queue: 'weblogic.kernel.Default (self-tuning)' has been busy for "600" seconds working on the request "Http Request Information: weblogic.
WebLogic安全指南:全面配置与实践
这一章详尽介绍了WebLogic的安全配置过程,包括以下几个核心环节: 1. **改变系统口令**:首先,为了保护服务器免受未经授权的访问,章节强调了更改系统用户(如system用户)口令的重要性,这是任何安全策略的基础...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值