weblogic

一、目录 目录结构 /bea bea的主目录 |-/jdk141_03 预打包的1.4.1_03JDK/jre |-/jrockit81sp1_141_03 预打包的jrockit1.4.1 |-/logs 安装bea产品的历史记录 |-/utils 附加的/工具jar文件 |-/weblogic81 weblogic server的根目录 | |-common 含有被weblogic server组件所共享的文件包括环境脚本模板文件评估软件 | |-javelin workshop使用的java/jsp编译器 | |-samples 含有示例代码和资源 | | |-server | | |-config | | | |-examples weblogic server示例应用和组件 | | | --petstore sun j2ee pet store应用 | | |-eval | | | |-pointbase 含有pointbase数据库的评估版 | | |－src 含有petstore和与weblogic server一起安装的示例的源代码和文件 | | | |-examples | | | --petstore | | --stage 含有示例域部署前的客户和服务器类 | |-server weblogic server 程序文件 | |-uninstall

文章目录 1 根据oracle官方发布的漏洞报告下载补丁 2 补丁包上传解压到Linux Server 3 补丁包上传解压到Windows Server 4 关于OPatch 5 Linux与Windows安装补丁区别 6 Linux安装补丁 6.1 Linux单个补丁安装 6.2 查看已安装的补丁 6.3 多个补丁安装 6.4 单个补丁回滚 6.5 多个补丁回滚 6.6 验证补丁是否应用到Oracle Home 7 重启weblogic应用服务 8 Windows安装补丁 文章正文 由oracle官方发布的漏洞公告，对weblogic进行补丁升级。 本文介绍的是weblogic安装的版本为12.1.3，如果你使用的是其他版本的请根据实际版本来选择下载，需要使用Generic通用包安装的weblogic才能进行补丁升级（补丁包下载需要拥有weblogic购买授权才有权限下载）。 1、根据oracle官方发布的漏洞报告下载补丁 ①打开链接地址： https://www.oracle.com/security-alerts/#CriticalPatchUpdates 补丁的下载这里我以2020年1月的补丁包为例，点击【Critical Patch Update - January 2020】 ②找到weblogic对应版本点击Fusion Middleware 按Ctrl+F搜索

1. 前言 2016年发在乌云知识库，重新发出来纪念一下。 常见的weblogic的JAVA反序列化漏洞修复方法如下： 1.使用SerialKiller替换进行序列化操作的ObjectInputStream类; 2.在不影响业务的情况下，临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。 ObjectInputStream类为JRE的原生类，InvokerTransformer.class为weblogic基础包中的类，对上述两个类进行修改或删除，实在无法保证对业务没有影响。如果使用上述的修复方式，需要大量的测试工作。且仅仅删除InvokerTransformer.class文件，无法保证以后不会发现其他的类存在反序列化漏洞。 因此本文针对weblogic的JAVA序列化漏洞进行了分析，对多个版本的weblogic进行了测试，并提出了更加切实可行的修复方法。 2. 为什么选择weblogic的JAVA反序列化漏洞进行分析 1.weblogic与websphere为金融行业使用较多的企业级JAVA中间件； 2.weblogic比websphere市场占有率高； 3.利用websphere的JAVA反序列化漏洞时需要访问8880端口

1. 前言 2016年发在乌云知识库，重新发出来纪念一下。 以下分析如何利用JAVA反序列化漏洞控制开放HTTPS服务的weblogic服务器，以及相应的防护方法。 # 2. HTTPS服务的架构分析 如果某服务器需要对公网用户提供HTTPS服务，可以在不同的层次实现。 2.1. 使用SSL网关提供HTTPS服务 当使用SSL网关提供HTTPS服务时，网络架构如下图所示（无关的设备已省略，下同）。 SSL网关只会向后转发HTTP协议的数据，不会将T3协议数据转发至weblogic服务器，因此在该场景中，无法通过公网利用weblogic的JAVA反序列化漏洞。 2.2. 使用负载均衡提供HTTPS服务 当使用负载均衡提供HTTPS服务时，网络架构如下图所示。 安全起见，负载均衡应选择转发HTTP协议而不是TCP协议，因此在该场景中，也无法通过公网利用weblogic的JAVA反序列化漏洞。 2.3. 使用web代理提供HTTPS服务 当使用web代理（如apache、nginx等）提供HTTPS服务时，网络架构如下图所示。 web代理只会向后转发HTTP协议的数据，因此在该场景中，也无法通过公网利用weblogic的JAVA反序列化漏洞。 2.4. 使用weblogic提供HTTPS服务 当使用weblogic提供HTTPS服务时，网络架构如下图所示。

转自： http://hi.baidu.com/576699909/blog/item/9d93db1fe0cdc2e01ad57659.html 。 在将LWAP开发的应用迁移为Oracle ADF来开发的过程中，LWAP和ADF应用都部署在同一个Weblogic服务器的两个Domain下， 当在IE中首先访问ADF应用，然后再另外一个标签页中访问LWAP应用，就会发现ADF应用出现问题，就会发现 session 丢失。 问题是由于客户端访问ADF应用时，对应的Weblogic域会保留一个名为JSessionId的Cookie，记录ADF域的信息，JSessionId为 Weblogic cookie-name的默认值，而当再次访问LWAP时，客户端Cookie中的JSessionId的值被LWAP的域修改了，此时再次访问 之前的ADF应用就会导致 Session 丢失。 网上可以找到关于这个问题的解决方案： 1，设置web应用的Cookie名称，让它们拥有不同的JSessionId 在LWAP和ADF的weblogic.xml文件添加如下属性 < session -descriptor> < session -param> <param-name>CookieName</param-name> <param-value>HADFCookie</param-value> </

一、现象： 在WebLogic中，有两个不同域A（端口：9000）和B（端口：8000），应用CA在域A中，应用CB在域B中，进行如下操作： 1、先登录应用CA，再登录应用CB，然后，切换回应用CA，发现应用CA的Session丢失； 2、应用CA中有指向应用CB的链接，登录应用CA，点击指向应用CB的链接，应用CA的Session丢失； 二、原因： 因Cookie冲突导致Session丢失。 Cookie的覆盖机制： 如果一个新的cookie与一个已存在的cookie的NAME、Domain和Path属性值均相同，则旧的cookie会被丢弃。（参考： http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_cookies ） WebLogic的Cookie相关配置： 属性名 默认值 值 cookie-name JSESSIONID 如未设置，默认为“JSESSIONID” cookie-path NULL 如未设置，默认为“/” cookie-domain NULL 如未设置，默认为发放cookie的服务器的域 　　由于没有在Weblogic.xml配置文件中对cookie的相关属性值进行配置，因此应用CA和应用CB的cookie的Name、 Domain和Path属性值均为默认值

Weblogic和tomcat的区别 介绍：weblogic是由美国bea公司出品的，他是基于javaEE的一个中间件。Weblogic 9.0的版本是现在最常用的。Weblogic是用于开发，集成、部署和管理大型分布式Web应用、网络应用和数据库应用的java应用服务器，完全遵循J2EE1.4的规范。 tomcat是一个免费的并且开源的Web应用服务器，是由Apache软件基金会的核心项目，由Apache、Sun和其他一些公司以及个人共同开发完成。因为tomcat使用起来比较方便、开源、性能比较稳定、运行起来之后系统占有资源比较少，并且tomcat支持负载均衡，一般具备平常开发的功能。其整个是免费的，在java开发中使用比较方便，得到一些使用者的认可，成为当前使用比较广泛的Web应用服务器。 两者的相同点： 两者都是基于j2EE的基础架构来实现的，只是不同的版本跟jdk版本的兼容不同，他们都是属于sun公司的servlet来实现的。 个人使用经验：weblogic9.2 -->jdk 1.5 tomcat--->基本上版本通用 不同点： （1）功能方面： Weblogic更加强大。webLogic属于J2EE应用服务器，包括EJB，JSp，servlet,jms是一个全能型的，在商业使用软件中排名第一，是一个综合的开发及运行环境，里面还可以做支持java编译等工具。

原来在 tomcat 下部署的应用没什么问题，今天部署到 weblogic 下，程序跑不起来了，报错信息如下： the method getServletContext() is undefined ps：我在jsp页面中调用了this.getServletContext() 方法，在 tomcat 下没问题，但部署在 weblogic 下就报错了。 在 google 搜索框中直接输入：weblogic the method getServletContext() is undefined 然后 google ，查出来的第一条是 stackoverflow 上的一个解决方案： 链接地址：http://stackoverflow.com/questions/2964250/jsp-getservletcontext-error 由于 weblogic 下不能这样获取，可以通过 getServletConfig().getServletContext() 这样来获取 servlet Context 。从发现到解决这个问题，前后花了不到十分钟的时间。如果用 中文搜索 ，估计半小时也找不到 解决方案 ，刚才用 中文 关键字在谷歌下搜索了，看了第一页的结果，貌似不是我要搜索的问题。建议大家搞开发的好好学习下英文，用英文搜索能节省很多时间。 来源： oschina 链接： https://my

通过weblogic管理后台console进行发布本地项目的时候， 它会默认以WEB-INF的上一级目录作为访问路径， 如，假如你的项目WEB-INF目录的上一层是WebRoot， 那么发布后，访问的路径默认是： http://hostname:port/WebRoot。 怎么样才能把WebRoot修改成其他内容呢？ 解决方法就是在WEB-INF目录下增加weblogic.xml文件， 内容如下： <weblogic-web-app xmlns="http://www.bea.com/ns/weblogic/90" xmlns:j2ee="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.bea.com/ns/weblogic/90 http://www.bea.com/ns/weblogic/90/weblogic-web-app.xsd"> <context-root>/test</context-root> <container-descriptor> <prefer-web-inf-classes>true</prefer-web-inf-classes> </container