中间件安全之WebLogic

最新推荐文章于 2024-04-17 15:14:36 发布
最新推荐文章于 2024-04-17 15:14:36 发布
阅读量363 收藏 1
点赞数
分类专栏: 中间件安全 文章标签: 安全 安全漏洞 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46085232/article/details/116756723
版权
本文详细介绍了WebLogic中间件的多个安全漏洞,包括任意文件上传(CVE-2018-2894)、未授权访问和远程代码执行(CVE-2020-14882, CVE-2020-14883)、XMLDecoder反序列化漏洞(CVE-2017-10271)以及WLS Core Components反序列化漏洞(CVE-2018-2628)。这些漏洞可能导致权限丢失和远程命令执行,影响多个WebLogic版本。" 106525129,9597622,51单片机实现OLED贪吃蛇教程,"['单片机', '嵌入式开发', '硬件焊接', '游戏编程']
摘要由CSDN通过智能技术生成

中间件安全

WebLogic

WebLogic是美国Oracle公司出品的一个applicationserver,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
默认端口:7001

安全漏洞

任意文件上传漏洞(CVE-2018-2894)

Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在"生产模式"下默认不开启,所以该漏洞有一定限制。
影响版本:12.1.3.0, 12.2.1.2, 12.2.1.3
漏洞复现:
1.利用靶场说明获取到账号密码,并登录管理后台。
在这里插入图片描述

2.访问http://your-ip:7001/ws_utc/config.do,设置Work Home Dir为/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css。原因是目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限。

最低0.47元/天 解锁文章
把小海蒂的名字还给我(师从小迪渗透)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
中间件安全-weblogic安全设置
曹大喯儿的博客
01-04 405
部署Weblogic之前需要做的准备工作 创建用户和用户组 [root@localhost ~]# groupadd oinstall [root@localhost ~]# useradd -g oinstall weblogic [root@localhost ~]# passwd weblogic 安装Weblogic 1、配置JDK 1.8.x [root@localhost ~]# tar zxf jdk-8u161-linux-x64.tar.gz [root@localhost ~]# m
Weblogic_Scan:一款Weblogic漏洞扫描工具,批量ip,多端口检测
05-26
:police_officer_light_skin_tone:‍ 使用方法&免责 usage: python3 weblogic_scan.py [ip.txt] [Thread_num] 1、批量检测weblogic漏洞工具,兼容Linux和Windows 2、自己可以自定义扫描端口,端口字典在 /Payload/default_data/dict_ports.py 3、所有请求全部通过socket模块进行,为了防止遗漏,web请求相关Payload模块都进行 http/https两种验证模式 4、结果存放在Output目录下 5、工具仅用于安全人员安全测试,任何未授权检测造成的直接或者间接的后果及损失,均由使用者本人负责
中间件安全Weblogic 安全加固规范
12-14 684
1. 适用情况 适用于使用Weblogic进行部署的Web网站。 2. 技能要求 熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署;2、找到Weblogic站点位置 4. 详细操作 4.1 控制台用户设置 1、用户弱口令修...
Weblogic安全部署
weixin_52669473的博客
12-04 141
创建用户和用户组 配置JDK 1.8.x 开始安装 创建weblogic域 生产模式下启动取消密码输入 启动weblogic 访问
Weblogic Web 服务器的安全设置
Beret-81的博客
04-20 2313
Weblogic Web 服务器的安全设置Weblogic 简单介绍Weblogic 安全设置1、更改weblogic后台用户名密码策略2、账号锁定策略3、日志审计配置4、Weblogic header 设置5、限制应用服务器Socket 数量6、修改默认路径和端口 Weblogic 简单介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于...
weblogic安全配置
收集盒 Book box
08-09 1332
http://download.oracle.com/docs/cd/E12890_01/ales/docs32/integrateappenviron/configWLS.html#wp1099454
中间件安全Weblogic 安全加固规范.pdf
03-15
中间件安全Weblogic 安全加固规范
weblogic中间件介绍
01-29
WebLogic中间件是Oracle公司的一款企业级应用服务器,它在IT行业中扮演着至关重要的角色,尤其是在构建和部署Java EE(现在称为Jakarta EE)应用程序时。WebLogic Server提供了丰富的功能和特性,支持高可用性、可...
信息安全等级保护测评作业指导书(Weblogic).doc
08-23
《信息安全等级保护测评作业指导书(Weblogic)》详述了针对Weblogic应用服务器的安全配置与管理措施,旨在确保信息系统的安全性和稳定性。以下是对文档主要内容的详细解释: 1. **用户权限管理**:不同管理用户应...
WeblogicScan.zip
01-28
基于python,可扫描Weblogic常见漏洞
WeblogicScan-master.zip
11-27
扫描weblogic漏洞 漏洞扫描工具 默认地址泄露检测 Java反序列化漏洞 漏洞扫描工具 默认地址泄露检测 Java反序列化漏洞
weblogicScan+cve-2017-10271.rar
06-27
WeblogicScan用来监测weblogic漏洞,支持xmldecode类型和java反序列化类型 WeblogicXmlDecode反序列化利用工具,支持cve-2017-10271
Weblogic漏洞扫描工具
02-22
console 页面探测 & 弱口令扫描、uuid页面的SSRF、CVE-2017-10271 wls-wsat页面的反序列化、CVE-2018-2628 反序列化等功能。
weblogic安全基线配置要求
09-11
有关weblogic应用部署相关的配置手册和注意事项,详细描述了相关配置过程
SpringBoot——安全
长不大的大灰狼
01-22 1093
SpringBoot——安全一、Spring Security1、基本概念2、引入依赖3、编写Security配置类 一、Spring Security 1、基本概念 两个安全框架:shiro、Spring Security Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。 We
WebLogic】Oracle发布2024年第二季度中间件安全公告
最新发布
cnskylee的博客
04-17 1020
Oracle于美国时间2024年4月16日发布了 WebLogic 中间件2024年第二季度的安全公告
探索WebLogic扫描工具:KingKaki的Weblogic-scan
gitblog_00014的博客
03-27 873
探索WebLogic扫描工具:KingKaki的Weblogic-scan 项目地址:https://gitcode.com/kingkaki/weblogic-scan 在网络安全日益重要的今天,对应用程序的漏洞检测成为了一项必不可少的任务。WebLogic,作为Oracle公司的一款企业级应用服务器,其安全性直接影响到大量业务系统的稳定运行。为此,我们想要向您推荐一个名为Weblogic-s...
github小工具之WeblogicScan
千寻的博客
11-23 1966
文章目录介绍下载安装使用摘抄免责声明 介绍 Weblogic一键漏洞检测工具,V1.5 #控制台路径泄露 Console #SSRF: CVE-2014-4210 #JAVA反序列化 CVE-2016-0638 CVE-2016-3510 CVE-2017-3248 CVE-2018-2628 CVE-2018-2893 CVE-2019-2725 CVE-2019-2729 CVE_
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值