JBOSS反序列化漏洞修改方案及验证
漏洞现象:
可以操控远程服务器
1、上传文件:
上传文件:
查看一下根目录是否存在test.xml文件
2、远程操作服务器
在CMD输入命令操控服务器
删除文件:
删除前处在test.xml文件
在CMD输入:rm -rf test.txt
已经将文件删除
解决方案:
删除JBoss自带jar包 commons-collections jar 中的 InvokerTransformer, InstantiateFactory, 和 InstantiateTransfromer class 文件
修改前commons-collections jar大小为545K 修改后为534K
修改后验证:
1、 上传文件
到服务器根目录下查看是否有文件test_now.txt
已经无法上传文件。
2、 远程操纵服务器
执行命令后无响应。
证明反序列化漏洞已解决。