weblogic

　　Java序列化对象(Java Serialization Object，JSO)是Java语言中在不同Java程序之间进行数据交换的机制，通过序列化和反序列可以在程序保存和恢复Java执行态的对象，JSO给Java开发带来极大的方便，但同时也是个极大的安全隐患。JSO给攻击者提供了一个稳定可靠的载体，来实现对Java APP的攻击和远程控制。近年JSO的反序列化漏洞层出不穷，针对JSO的攻击也越来越多。比如知名Java框架Stuts 2，基本上成了一个筛子，一股脑暴露了几十个安全漏洞，其中很多都是反序列化漏洞。安全厂商近期发布了一份关于JSO的安全研究报告，论述了有关JSO的安全问题，反序列化漏洞的影响，JSO漏洞流行度，以及如何使用Metasploit 框架验证和测试JSO有关的漏洞。今天虫虫就带领大家一起学习下这份安全报告。首先列举一下关于JSO现实数据： 　　2017年和2018年两年间分配给JSO相关漏洞CVE在大幅度增加。两年内公增加了大概100个，而此前2013年至2016年四年内也仅仅有7个。 　　基于JSO的应用程序通常可通过互联网远程访问。在2019年1月的安全扫描统计(基于JSO的T3协议)显示有11831个可通过互联网访问的WebLogic服务器。 　　JSO的使用和滥用 　　虽然正对JSO漏洞的攻击防御已经为广大开发者和安全人员熟知

针对需要使用T3协议的Weblogic2628漏洞解决方案 前几天用户的服务器中检查到了Weblogic2628l漏洞，并且打过Oracle官方补丁后还是能检测到。 针对此问题，去网上查找了一些资料。做了一些总结和测试，一共有四种解决此漏洞的方法： 1、禁止使用Weblogic的T3协议。（客户需要使用此协议，不可取）； 2、升级Oracle官方4月份补丁。（经过测试，打过补丁后，此漏洞依然存在）； 3、使用绿盟NIPS，规则库能够阻挡外部攻击。 4、设置T3协议白名单。（对需要使用T3协议的情况下很好使，下面会给出步骤） 测试环境：weblogic10.3.6服务器（windows 2008R2）192.168.125.118 攻击机win10 192.168.125.117 使用脚本本地检测，存在web logic2628漏洞(脚本链接：https://github.com/aedoo/CVE-2018-2628-MultiThreading) 同一内网下的win10 检测，同样存在此漏洞 设置T3协议白名单 （1） 进入 Weblogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。 在连接筛选器中输入： weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中 输入：

针对需要使用T3协议的Weblogic2628漏洞解决方案 参考文章： （1）针对需要使用T3协议的Weblogic2628漏洞解决方案 （2）https://www.cnblogs.com/oliver-yt/p/9140068.html 备忘一下。 来源： oschina 链接： https://my.oschina.net/u/4383691/blog/4261230

中间件中文技术文档2018年3月-5月更新内容 Oracle Middleware 中文技术支持团队一直致力于为大中国区客户提供更好的支持服务。为了进一步提升中文用户的客户体验，我们一直在创建中英文双语技术文档，并且逐步将 My Oracle Support 中已有的并且对用户帮助最大的英文文档翻译成简体中文，从而帮助客户更好的避免潜在隐患，或更快的解决已有问题。 2018年3月-5月，我们新增的中文技术文档内容如下： Doc ID 1542164.1 (中间件中文文档列表 - Oracle Middleware 索引 ) 新增中文技术文档列表： Document 2391997.1 提交BPM流程时报错误 "Exception Description: You must login to the ServerSession before acquiring ClientSessions." Document 2392490.1 Sites 12c Search 中文字符问题 Document 2368320.1 ADVISOR WEBCAST 录音: WebLogic服务器调优(工作管理器及数据源), 2018年4月11日 Document 2392026.1 ADVISOR WEBCAST 录音: WebLogic JMS的调优与诊断, 2017年3月15日 Document

1. 生成数据源需要的wlfullclient.jar wlfullclient.jar生成方式 进入weblogic的安装目录 例如 E:\tools\weblogic\wls12213\wlserver\server\lib 运行 java -jar wljarbuilder.jar 就能生成wlfullclient.jar文件 2. weblogic 配置数据源 基本上一路下一步。填写数据库基本信息即可。 看到测试成功，即为配置正常。 3. 项目配置修改 此处只列出spring项目想改方式。 修改spring-context.xml，注释掉原有的dataSource的 添加以下注解 <bean id= "dataSource" class= "org.springframework.jndi.JndiObjectFactoryBean" > <property name= "jndiName" > <value> bgc-web-test </value> </property> <property name= "resourceRef" > <value> true </value> </property> <property name= "jndiEnvironment" > <props> <prop key= "java.naming.provider.url" >

编号：CVE-2017-10271 作者：Id3al 复现时间：2019-5-26 最近在工作中偶遇到关于weblogic的几个洞，分别是CVE-2017-10271、CVE-2017-2628等，于是便想着深入学习下这几个漏洞，本篇文章主要复现CVE-2017-10271漏洞，下面会从搭建环境开始一步一步复现 先介绍下环境 环境搭建 Linux： 系统:centos6. 9 IP: 192.168 . 149.139 Weblogic版本： 10.3 . 6.0 java版本：JDK 1.8 .0_212 Linux下安装weblogic的步骤如下： mkdir -p /usr/local/soft/weblogic // 创建weblogic安装目录 groupadd weblogic // 创建weblogic用户组 useradd -m -g weblogic -G weblogic weblogic // 添加新用户weblogic并添加进weblogic用户组 chown -R weblogic：weblogic /usr/local/soft/Weblogic/ // 更改weblogic安装目录权限 java -jar wls1036_generic.jar // 开始安装 安装上述步骤进行安装，后续会进入图形化界面或者默认安装界面

Change to production mode - 更改应用运行模式 参考博文 All servers in a domain run either in development mode or production mode. In general, production mode requires you to configure additional security features. For information on the differences between the two modes, refer to " Creating a WebLogic Domain " in Creating WebLogic Domains Using the Configuration Wizard . To configure all servers in a domain to run in production mode: If you have not already done so, in the Change Center of the Administration Console, click Lock & Edit (see Use the Change Center ). In the left pane of the Console, under