weblogic

目录 四、 weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) 0. 漏洞分析 1. 利用过程 2. 修复建议 一、weblogic安装 http://www.cnblogs.com/0x4D75/p/8916428.html 二、weblogic弱口令 http://www.cnblogs.com/0x4D75/p/8918761.html 三、weblogic 后台提权 http://www.cnblogs.com/0x4D75/p/8919760.html 四、 weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) 影响版本： Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.1.3.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.2.1.2.0版本 0. 漏洞分析 通过POC利用后，抓取weblogic的返回响应的xml部分如下,调用栈在 标签中： 从调用栈可以明确的看到源码中weblogic调用函数的过程： processRequest > readHeaderOld > receive > receiveRequest >

以下内容来自网络： weblogic安装后，很久不用，忘记访问控制台的用户名或者密码，可通过以下步骤来重置用户名密码。 版本：WebLogic Server 11g 说明：%DOMAIN_HOME%：指WebLogic Server 域(Domain）目录 例如我的做测试的域的根目录 DOMAIN_HOME=/bea/weblogic/user_projects/domains/mydomain 1.为了保证操作安全，备份%DOMAIN_HOME%/security/DefaultAuthenticatorInit.ldift 2. 进入%DOMAIN_HOME%/security目录，执行下列命令： java -classpath =/bea/weblogic/wlserver_10.3/server/lib/weblogic.jar weblogic.security.utils.AdminAccount <NewAdminUserName> <NewAdminPassword> . 例如： cd /bea/user_projects/domains/base_domain/security 执行java -classpath D:/bea/wlserver_10.3/server/lib/weblogic.jar weblogic.security.utils

文章目录 Weblogic及其由来和历史 Weblogic与Tomcat等的优劣 WebLogic重要概念 计算机(Machine）： 域（Domain） 管理服务器（Administration Server） 托管服务器(Managed Server) 节点管理器（Node Manager） 概念间的关系 集群（Cluster） 实际服务架构选择 Weblogic及其由来和历史 Weblogic是Oracle公司的Java应用服务器。可以用来集成和部署大型分布式Web应用、网络应用和数据库应用。 Weblogic最早由Weblogic公司开发，后来被BEA公司并入，所以早期Weblogic安装及界面有bea的元素。BEA被Oracle收购之后，成为Oracle公司的Oracle数据库之外的另外一个重量级的产品。 因其广受欢迎及优势，在其之上延伸了很多其他的企业中间件，比如Weblogic Portal, WebLogic Integration等，Oracle遂以Fusion Middleware (融合中间件)的字眼来命名。 Weblogic与Tomcat等的优劣 Weblogic属于商业J2EE应用服务器，同类的产品有： IBM公司的Websphere 原Sun公司（现已被Oracle收购）的Glassfish,resin。Glassfish可以看出是官方的服务器

WebLogic管理控制台 WebLogic服务器提供了一个健壮的基于Web 的工具——管理控制台，它是执行上述任务的主要工具。通过管理控制台，你可以访问WebLogic管理服务。管理服务实现了 Sun的Java管理扩展标准（JMX），它是WebLogic 资源管理的基础。 你可以用管理控制台来配置资源的属性，分发应用及组件，监控资源的使用情况（如服务器负载，Java虚拟机的内存使用情况以及数据库连接池的负载），查看日志消息，终止服务器，以及执行其它管理任务。 域、管理服务器与受管服务器 作为一个单元来管理的并相互关联的一组WebLogic服务器资源被称为域。一个域可以包含一或多个WebLogic服务器，还可以包含WebLogic服务器集群。域的配置使用扩展标记语言（XML）定义。install_dir/config/domain_name 目录中的config.xml 文件定义了域的配置，install_dir是WebLogic Server软件的安装目录。 域是一个完备的管理单元。向域里分发应用的时候，该应用的各组成部分只能分发到域之内的服务器上。如果域中包含集群，那么集群中的所有服务器都必须属于同一个域。 运行管理服务的WebLogic服务器称为管理服务器。管理服务集中管理并监控域的所有资源。 如果要对某个域执行管理操作，该域的管理服务器必须处于运行状态。 一

分类： Weblogic （2034） （1） 若是觉得对您有一丢丢的帮助，烦请顶一下哦，激励我码出更多的帖子，^_^谢谢！ 1、数据源性能优化 1、1连接池参数配置 登录weblogic控制台,占击“connection pool”按钮进入数据库连接池配置页面。数据源性源优化参数说明： 1）初始容量(要在创建连接缓冲池时创建的物理连接数)：10 2）最大容量(此连接缓冲池可容纳的最大物理连接数)：100 3）容量增长(将新连接添加到连接缓冲池时创建的连接数)：3 具体配置如下图所示： 1、2高级参数配置： 点数据源配置下方的“高级”按钮进入高级配置页面。 1）重试创建的频率（建立数据库连接尝试的间隔秒数）：10 2）登录延迟（创建每个物理数据库连接前的延迟秒数。此延迟支持不能快速连续处理多个连接请求的数据库服务器。）：10 3）非活动连接超时（保留连接处于不活动状态的秒数，该秒数过后 WebLogic Server 将收回该连接并将其释放回连接缓冲池）：100 具体配置如下图所示： 4）取消“Remove Infected Connections Enabled”选项 点掉勾选项后，应用程序关闭逻辑连接后，物理连接将返回到连接缓冲池并可由该应用程序或其他应用程序重复使用。可以提高效率。 2、应用性能优化： 点击部署成功的应用进入详情配置页面，配置参数说明： 1）Servlet

weblogic调优 发表者: java123 注：在下面做的介绍都是以 Weblogic8.1 为例的，其它版本的 Weblogic 可能会有些许不同。 1) 设置 JAVA 参数； a) 编辑 Weblogic Server 启动脚本文件； l BEA_HOME\user_projects\domains\domain-name\startWebLogic.cmd(startWebLogic.sh on Unix) l BEA_HOME\user_projects\domains\domain-name\startManagedWebLogic.cmd(startManagedWebLogic.sh on Unix) b) 编辑 set JAVA_OPTIONS 命令，如： set JAVA_OPTIONS=-Xms 256m –Xmx 256m ； c) 保存，重启即可。 注：在 WebLogic 中，为了获得更好的性能， BEA 公司推荐最小 Java 堆等于最大 Java 堆。 2) 开发模式 vs. 产品模式； 开发模式和产品模式的一些参数的默认值不同，可能会对性能造成影响，下面是对性能有影响的参数列表： 参数 开发模式默认值 产品模式默认值 Execute Queue: Thread Count 15 threads 25 threads JDBC

本节内容 zabbix java gateway 配置和运行java gateway 配置zabbix server使用java gateway 调整java gateway的日志级别 监控weblogic 监控websphere 一、zabbix java gateway zabbix通过JMX监控应用服务器。 注意如果zabbix需要监控JMX应用的程序，在编译zabbix的时候就需要--enable-java，同时也需要安装配置好JDK。详见我之前的博客《zabbix安装配置》。 JMX（Java Management Extensions，即Java管理扩展）是一个为应用程序、设备、系统等植入管理功能的框架。JMX可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议，灵活的开发无缝集成的系统、网络和服务管理应用。 Zabbix已经集成JMX，可以用Zabbix通过JMX监控JVM，TOMCAT，Weblogic，Jboss等。要使用Zabbix监控Weblogic，我们先要了解Zabbix的JMX监控架构，Weblogic的JMX信息，最后才能去实现怎么去配置监控和报警。 Zabbix是使用了一个叫做Java Gateway的应用去监控JMX的。Java Gateway集成在zabbix官方开发发布的。所以需要在编译安装zabbix server时，需要添加一个选项-

session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。 当 程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为 session id，如果已包含一个session id则说明以前已经为此客户端创建过session，服务器就按照session id把这个 session检索出来使用（如果检索不到，可能会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成 一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个 session id将被在本次响应中返回给客户端保存。 保存这个session id的方式可以采用cookie，这样在交互过程中浏 览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于 SEEESIONID，而。比如weblogic对于web应用 程序生成的cookie，JSESSIONID= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764，它的名字就是 JSESSIONID。 由于cookie可以被人为的禁止

Using Sessions and Session Persistence The following sections describe how to set up and use sessions and session persistence: Overview of HTTP Sessions Setting Up Session Management Configuring Session Persistence Using URL Rewriting Instead of Cookies Session Tracking from a Servlet Overview of HTTP Sessions Session tracking enables you to track a user's progress over multiple servlets or HTML pages, which, by nature, are stateless. A session is defined as a series of related browser requests that come from the same client during a certain time period. Session tracking ties together a series