Weblogic反序列化漏洞修复

最新推荐文章于 2024-02-02 18:02:32 发布
最新推荐文章于 2024-02-02 18:02:32 发布
阅读量778 收藏
点赞数
分类专栏: JAVA后端
原文链接:http://blog.51cto.com/hanhanyi/1775960
版权

Weblogic反序列化在各大论坛的讨论一直是轰轰烈烈的,引发本漏洞其实并不能怪java的反序列化机制.
测试漏洞存在,应朋友的要求帮忙做个补救,翻遍网上大牛们的技术贴,有两种临时补救的方法,但是尝试过之后对应用有影响,放弃!
今天找到某牛写的贴子,里面提到可以自己禁止JVM 执行系统命令,经过一番研究,写了个servlet 放在系统里面跑了一下,成功防御,直接贴出代码:
 

import java.io.FilePermission;
import java.io.IOException;
import java.io.PrintWriter;
import java.security.Permission;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class KriSecurityServlet extends HttpServlet {
	/**
	 * Constructoroftheobject.
	 */
	public KriSecurityServlet() {
		super();
	}

	public void destroy() {
		super.destroy();
		// Justputs"destroy"stringinlog
		// Putyourcodehere
	}

	public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		this.doPost(request, response);
	}

	public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		response.setContentType("text/html");
		PrintWriter out = response.getWriter();
		out.println("<!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01 Transitional//EN\">");
		out.println("<HTML>");
		out.println(" <HEAD><TITLE>Errot</TITLE></HEAD>");
		out.println(" <BODY>");
		out.println("Security denied!!!");
		out.println(" </BODY>");
		out.println("</HTML>");
		out.flush();
		out.close();
	}

	public void init() throws ServletException {
		SecurityManager originalSecurityManager = System.getSecurityManager();
		if (originalSecurityManager == null) {
			// 创建自己SecurityManager
			SecurityManager sm = new SecurityManager() {
				private void check(Permission perm) {
					// 禁止exec
					if (perm instanceof FilePermission) {
						String actions = perm.getActions();
						if (actions != null && actions.contains("execute")) {
							System.out.println("警告:>>检测到 weblogic 反序列化***...");
							throw new SecurityException("execute denied!");
						}
					}
					// 禁止设置新的SecurityManager,保护自己
					if (perm instanceof java.lang.RuntimePermission) {
						String name = perm.getName();
						if (name != null && name.contains("setSecurityManager")) {
							System.out.println("警告:<<检测到 weblogic 反序列化***...");
							throw new SecurityException("System.setSecurityManager denied!");
						}
					}
				}

				public void checkPermission(Permission perm) {
					check(perm);
				}

				public void checkPermission(Permission perm, Object context) {
					check(perm);
				}
			};
			System.setSecurityManager(sm);
		}
	}

}

 

//web.xml 配置文件中添加如下内容:
<servlet>
 <servlet-name>MySecurityServlet</servlet-name>
 <servlet-class>MySecurityServlet</servlet-class>
 <load-on-startup>0</load-on-startup>
</servlet>
<servlet-mapping>
 <servlet-name>MySecurityServlet</servlet-name>
 <url-pattern>/servlet/MySecurityServlet</url-pattern>
</servlet-mapping>

 

 

sinosoft5876
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
weblogic反序列化漏洞补丁.zip
03-21
含p20780171_1036_Generic.zip、p22248372_1036012_Generic.zip、测试工具Test.jar
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Weblogic反序列化漏洞分析之CVE-2021-2394
shelter1234567的博客
02-02 808
Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。剧透一下:这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。...} else {......//抽象方法...此类的。
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
weblogic的JAVA反序列化漏洞修改方法
04-28
windows版weblogic的JAVA反序列化漏洞修改方法,亲测
weblogic 反序列化漏洞补丁
07-05
weblogic CVE-2018-2628 反序列化漏洞 ,包含安装手册以及补丁文件
Weblogic反序列化漏洞(CVE-2018-2628)
weixin_46411728的博客
11-15 3737
Weblogic反序列化漏洞(CVE-2018-2628)
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 2983
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单!
Javaweb安全——Weblogic反序列化漏洞(一)
weixin_43610673的博客
12-11 2705
从原生反序列化过程开始谈起。
【vulhub】Weblogic(CVE-2018-2628)漏洞复现
qq_45300786的博客
04-10 2325
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 先提几个概念 JRMP:java remote method protocol,Java远程方法协议 JRMP是的Java技术协议的具
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 3313
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
weblogic反序列化漏洞测试jar包
02-17
weblogic反序列化漏洞测试jar包 如涉及版权问题请与我联系
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
weblogic--反序列化漏洞测试Test
10-19
weblogic应用上的资源分享给大家,如涉及版本,请告知,谢谢。
2018最新weblogic反序列化漏洞补丁包
05-22
在p27395085_1036_Generic补丁的基础上再打上27453773_1036_Gener,解决CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628
weblogic反序列化漏洞检测工具
01-06
weblogic反序列化漏洞检测工具,一键扫描,直接显示扫描结果。
2021数学建模美赛C题代码.zip
04-24
最全的数学建模美赛C题和代码、大量刷题题库、逻辑清晰易于学习
这是一个保存Springboot+MyBaits项目的仓库.zip
最新发布
04-24
springboot框架 一、Spring Boot基础应用 Spring Boot特征 概念: 约定优于配置,简单来说就是你所期待的配置与约定的配置一致,那么就可以不做任何配置,约定不符合期待时才需要对约定进行替换配置。 特征: 1. SpringBoot Starter:他将常用的依赖分组进行了整合,将其合并到一个依赖中,这样就可以一次性添加到项目的Maven或Gradle构建中。 2,使编码变得简单,SpringBoot采用 JavaConfig的方式对Spring进行配置,并且提供了大量的注解,极大的提高了工作效率,比如@Configuration和@bean注解结合,基于@Configuration完成类扫描,基于@bean注解把返回值注入IOC容器。 3.自动配置:SpringBoot的自动配置特性利用了Spring对条件化配置的支持,合理地推测应用所需的bean并自动化配置他们。 4.使部署变得简单,SpringBoot内置了三种Servlet容器,Tomcat,Jetty,undertow.我们只需要一个Java的运行环境就可以跑SpringBoot的项目了
课设&大作业-毕业设计精品课程网站,采用的技术是 SSM 框架和 Shiro.zip
04-24
【资源说明】【毕业设计】 1、该资源内项目代码都是经过测试运行成功,功能正常的情况下才上传的,请放心下载使用。 2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也可作为大作业、课程设计、毕设项目、初期项目立项演示等,欢迎下载,互相学习,共同进步!
防止weblogic反序列化漏洞的好处
05-28
防止weblogic反序列化漏洞的好处主要有以下几点: 1. 防止黑客利用反序列化漏洞进行攻击:反序列化漏洞是一种常见的安全漏洞,黑客可以利用这种漏洞来执行恶意代码,从而导致系统被攻击。防止weblogic反序列化漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值