weblogic漏洞修复:CVE-2014-4210,UDDI Explorer对外开放

最新推荐文章于 2023-02-06 21:40:30 发布
最新推荐文章于 2023-02-06 21:40:30 发布
阅读量568 收藏
点赞数
原文链接:http://www.cnblogs.com/lichmama/p/6197627.html
版权

漏洞描述

http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

 

修复方式:

  1.删除server/lib/uddiexplorer.war下的相应jsp文件。 

#> jar -xvf uddiexplorer.war 
#> rm jsp-files 
#> jar -cvfM uddiexplorer.war uddiexplorer/

  2.配置访问权限,取消对外开放。

 

参考文档:

http://blog.csdn.net/anhuixiaozi/article/details/51133356

http://blog.csdn.net/wearegouest/article/details/5844591

转载于:https://www.cnblogs.com/lichmama/p/6197627.html

weixin_30765475
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
weblogic CVE-2014-4210 SSRF漏洞
ChenD的学习笔记
05-22 1542
然后直接VPS拉取vulhub的镜像出现连接不到反弹shell的问题(但是成功写入了,其实也算完成实验了),最后本地搞出来啦,结果没有ssh,猛男哭泣!redis可能存在未授权访问漏洞,同时redis默认是不对外开放的,意思就是说只有内网可以访问redis服务器,外网访问不到,这时候就体现出了SSRF请求伪造漏洞的作用。然后kali也出问题了,docker拉取的vulhub拉取的weblogic/ssrf 镜像,启动后只启动了weblogic,redis起不来,很怪异。
漏洞复现CVE-2014-4210(Weblogic ssrf)
deginner2的博客
07-28 1143
Weblogic 漏洞复现
[Vulhub] Weblogic SSRF 漏洞CVE-2014-4210
weixin_45605352的博客
07-21 5544
0x00 预备知识 01 SSRF概念: SSRF(服务端请求伪造),指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 简单的说就是利用一个可发起网络请求的服务当作跳板来攻击其他服务 02 SSRF原理 SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用SSRF漏洞获取内部系统的一些信息(正是因为它是由服务端
Weblogic_SSRF漏洞_CVE-2014-4210(未完待续)
simonnews的博客
05-25 876
Weblogic_SSRF漏洞_CVE-2014-42101 漏洞概述1.1 基础知识1.2 漏洞概述1.3 影响版本2 漏洞原理分析3 漏洞复现4 漏洞修复5 其他 1 漏洞概述 1.1 基础知识 什么是SSRF漏洞:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 1.2 漏洞
Weblogic SSRF漏洞复现(CVE-2014-4210)【vulhub靶场】
m0_55854679的博客
08-09 1459
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
weblogic 漏洞统计 CVE
09-18
6. CVE-2014-2479、CVE-2014-4210CVE-2014-4241、CVE-2014-4217、CVE-2014-4201、CVE-2014-4202:这些漏洞可能允许攻击者在未授权的情况下访问系统资源,造成信息泄露或系统控制。 7. CVE-2013-1504、CVE-2013-...
weblogic10.36 CVE-2018-2893补丁文件
08-02
weblogic10.36 CVE-2018-2893补丁文件 最新补丁文件,修复 WebLogicCVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞...
weblogic_cve-2019-2888:weblogic_cve-2019-2888
03-09
1)开启XXER工具python xxer.py -H 192.168... java -jar weblogic_xxe.jar xx.xml 3)使用java-deserialization-exploit工具中的weblogic.py发送数据给weblogic服务器python weblogic.py 192.168.17.222 7001 weblogic
Weblogic漏洞CVE -2017-10271解决方案-附件资源
03-02
Weblogic漏洞CVE -2017-10271解决方案-附件资源
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2014-7169 漏洞更新
10-23
已成功更新Red Hat Enterprise Linux Server release 5.5 (Tikanga)。
Weblogic SSRF(CVE-2014-4210)漏洞复现
m0_64583632的博客
02-06 520
Weblogic SSRF(CVE-2014-4210)漏洞复现
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3344
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
CVE-2014-4210 weblogic SSRF漏洞
nex1less的博客
10-21 524
0x01 漏洞地址 http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp 0x02 漏洞验证 1.访问http://your-ip:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用。 2.
Weblogic SSRF漏洞CVE-2014-4210
weixin_39664643的博客
01-25 1132
利用范围 版本10.0.2,10.3.6 原理 Oracle WebLogic Web Server既可以被外部主机访问,同时也允许访问内部主机。比如有一个jsp页面SearchPublicReqistries.jsp,我们可以利用它进行攻击,未经授权通过weblogic server连接任意主机的任意TCP 端口,可以能冗长的响应来推断在此端口上是否有服务在监听此端口。 利用 漏洞靶场 编译及启动测试环境 docker-compose build docker-compose up -d 访问http
Weblogic SSRF漏洞(CVE-2014-4210)
谢公子的博客
05-03 6301
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 关于SSRF漏洞我们就不讲了,传送门——>SSRF(服务端请求伪造)漏洞 今天我们讲的是Weblogic存在的SSRF漏洞。 该漏洞存在于:http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp页...
weblogic系列漏洞整理 ————5. weblogic SSRF 漏洞 UDDI Explorer对外开放 (CVE-2014-4210)
Fly_鹏程万里
11-01 3565
影响版本:10.0.2,10.3.6 SSRF漏洞,也称为XSPA(跨站端口攻击),问题存在于应用程序在加载用户提供的URL时,没能正确验证服务器的响应,然后就反馈回了客户端。攻击者可以利用该漏洞绕过访问限制(如防火墙),进而将受感染的服务器作为代理进行端口扫描,甚至访问系统中的数据。 利用过程 利用脚本 # !/usr/bin/env python # codin...
weblogic SSRF漏洞(CVE-2014-4210)检测利用
a1b2c3是弱口令
12-10 9535
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 SSRF漏洞检测利用 脚本检测 def run(self): headers = { "User-Agent":"Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) App...
以下Weblogic漏洞为反序列化的有 (2分) A CVE-2017-10271 B CVE-2018-2628 C CVE-2014-4210 D CVE-2017-3506
最新发布
06-08
以下Weblogic漏洞为反序列化的有A CVE-2017-10271、B CVE-2018-2628和D CVE-2017-3506。 WebLogic Server是一款流行的Java应用服务器,由Oracle公司开发和维护。WebLogic Server的反序列化漏洞是一种常见的安全漏洞,攻击者可以通过构造恶意序列化数据,从而实现远程代码执行、绕过身份验证等攻击。 以下是反序列化漏洞的相关信息: A. CVE-2017-10271:WebLogic Server WLS-WSAT组件反序列化漏洞,攻击者可以通过构造特定的HTTP请求,实现远程代码执行。 B. CVE-2018-2628:WebLogic Server T3协议反序列化漏洞,攻击者可以通过构造特定的T3协议请求,实现远程代码执行。 C. CVE-2014-4210WebLogic Server SSRF漏洞,攻击者可以通过构造恶意请求,访问内部网络资源。 D. CVE-2017-3506:WebLogic Server WLS Security组件反序列化漏洞,攻击者可以通过构造特定的HTTP请求,实现绕过身份验证。 因此,选项A、B和D是反序列化漏洞。 答案:A、B、D。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值