【中间件漏洞】(一)

最新推荐文章于 2025-08-25 22:41:54 发布
原创 最新推荐文章于 2025-08-25 22:41:54 发布 · 716 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#中间件 #web安全

Weblogic漏洞

关于中间件,可以理解为:是一类能够为一种或多种应用程序合作互通、资源共享,同时还能够为该应用程序提供相关的服务的软件。(注意:中间件是一类软件的总称,不是单独的一个软件)

一、漏洞列表

编号 类型 利用方式
弱口令、任意文件读取 获得密码进后台,传马
CVE-2018-2894 任意文件上传 后台传马getshell
CVE-2014-4210 SSRF 利用redis协议getshell
CVE-2020-14882 Console远程代码执行 GET、POST、XML
CVE-2018-2628 T3协议反序列化 RMI攻击,ysoserial工具
CVE-2017-10271 XMLDecoder反序列化 构造反弹payload
CVE-2023-21839 JNDI注入 和log4j一致

二、Weblogic 基本介绍

全名:Oracle WebLogic Server,JavaEE服务器
商业产品,适用于大型商业项目
同类产品:IBM WebSphere、Apache Tomcat、
Redhat Jboss
常见版本:
WebLogic Server 10.x ——11g
WebLogic Server 12.x ——12c
vulhub靶场——基于WebLogic Server 10.3.6
默认端口:7001

三、历史漏洞概况

最低0.47元/天 解锁文章

200万优质内容无限畅学
Weblogic中间件漏洞
m0_75036923的博客
09-20 804
环境搭建漏洞复现 默认账号密码:weblogic/Oracle@123 weblogic常⽤弱⼝令:https://cirt.net/passwords?1.登录后台后,点击部署,点击安装,点击上传⽂件。2.上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传然后⼀直下⼀步3.访问部署好的war 192.168.0.115:7001/1/1.jsp。
常见中间件漏洞复现
君莫hacker的博客
11-08 9341
常见中间件漏洞复现 中间件Tomcat Apache IIS Jboss Weblogic Nginx 目录tomcat中间件1.tomcat文件上传(CVE-2017-12615) tomcat中间件 1.tomcat文件上传(CVE-2017-12615) 环境:线上环境 vulfocus 影响版本:Tomcat 7.0.0 - 7.0.81
常见的中间件漏洞
yjh20041010的博客
01-01 1266
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行。此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进入到 jmx控制台,并在其中执行任何功能。CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。
WebLogic 中间件漏洞
weixin_71053667的博客
08-06 1338
Weblogic介绍WebLogic是美国Oracle公司出品的个application server,确切的说是个基于JAVAEE架构的中间件,默认端口:7001 WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
常见中间件漏洞大全及其修复方法--看这篇就够!!
C233333235的博客
08-06 2286
tomcat是个开源而且免费的jsp服务器,默认端口: 8080,属于轻量级应用服务器。它可以实现 JavaWeb程序的装载,是配置JSP)和JAVA系统必备的款环境。1.1Tomcat put方法任意文件写入漏洞当Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将readonly初始化参数由默认值设置为false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP文件,JSP。
中间件漏洞
m0_73771249的博客
09-21 1414
1、开启靶场环境,打开网站2、使用BP抓包,用PUT 方式上传个jsp木马3、使哥斯拉工具连接查看。
常见中间件漏洞
weixin_53198216的博客
08-06 1826
1.1打开tomcat页面1.2 打开burp进行抓包,修改PUT方式,后面加上句话木马1.3上传木马后进入这个jsp页面,burp放行1.4打开中国蚁剑测试连接。
常见中间件漏洞WebLogic篇
2302_77611368的博客
03-23 2000
Weblogic介绍Weblogic介绍WebLogic 是 Oracle 公司开发的款企业级 Java EE(Java Platform, Enterprise Edition)应用服务器,广泛用于构建、部署和管理分布式企业级应用程序。它是 Java EE 规范的主要实现之,支持高可用性、可扩展性和安全性,适用于大型企业和关键业务系统。
网络安全-中间件漏洞
Triumph_01的博客
07-13 1577
中间件种独立的系统软件或服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源。中间件位于客户机/服务器的操作系统之上,管理计算资源和网络通信。更加详细的中间件介绍可以参考这位作者的文章。
tomcat中间件漏洞复现
m0_72199724的博客
05-09 925
而该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者可通过构造特定参数读取webapp目录下的任意文件,如:webapp 配置文件或源代码等。先进行端口扫描发现这几个端口是开放的,8009端口的AJP协议是开启的,Tomcat版本<9.0.31,并且存在8009端口ajp服务的开启。这些权限的究竟有什么作用,详情阅读 Apache Tomcat 8 (8.5.77) - Manager App How-To。manager-script 拥有text接口的权限,和status权限。
常见中间件漏洞总结PPT
01-25
中间件种位于操作系统和应用程序之间的软件,其主要作用是管理和控制应用程序与底层系统资源的交互,以及应用程序之间的通信。中间件可以支持异构环境下的分布式应用,使得不同系统或网络中的应用能够方便地交换...
中间件漏洞合集.zip
07-15
"中间件漏洞合集.zip"是个包含多个中间件安全漏洞信息的压缩文件,主要目的是供学习和研究,以提升网络安全意识和防护能力。下面我们将深入探讨中间件漏洞的相关知识。 1. **中间件的概念与作用** 中间件种...
中间件漏洞详解
06-11
本课程分别从iis5.x/6、iis7、apache三个中间件漏洞进行分析,首先从原理上介绍形成该漏洞的原因,而后通过实战的形式演示怎么利用这三种漏洞对服务器进行攻击。
Web中间件常见漏洞总结.pdf
06-14
中间件安全问题常常成为黑客攻击的目标,因此深入理解和掌握Web中间件常见漏洞的知识对于网络安全防护至关重要。下面,我们将围绕文档提及的IIS中间件,总结其常见漏洞类型及修复建议。 1. IIS解析漏洞 IIS解析...
web中间件常见漏洞总结.pdf
12-14
然而,由于其复杂性和广泛的使用,Web中间件也成为了攻击者的目标,存在多种可能的安全漏洞。以下是对这些常见漏洞的详细总结: 1. **SQL注入**:当Web应用未能正确过滤或转义用户输入的数据时,攻击者可以插入恶意...
程序里的依赖和中间件的依赖冲突,怎么解决
Rockandrollman的博客
08-24 181
程序里的依赖和中间件的依赖冲突,怎么解决
通信中间件 Fast DDS() :详细介绍
最新发布
红军不怕远征难,万水千山只等闲
08-25 405
想要提供信息的应用会声明其成为发布者的意图,而想要访问数据空间部分内容的应用则会声明其成为订阅者的意图。通信发生在不同域之间,即连接所有能够相互通信的分布式应用程序的孤立抽象层面。只有属于同域的实体才能进行交互,而订阅数据的实体与发布数据的实体之间的匹配由主题介导。主题是明确的标识符,它将在域中唯的名称与数据类型以及组附加的特定于数据的服务质量(QoS)相关联。DDS采用的通信模型是种多对多的单向数据交换,在该模型中,生成数据的应用程序会将数据发布到属于消费数据的应用程序的订阅者的本地缓存中。
Next.js 15.5.0:探索 Turbopack Beta、稳定的 Node.js 中间件和 TypeScript 的改进
qq_38930767的博客
08-25 651
Next.js 15.5.0带来多项重要更新:Turbopack构建进入Beta阶段,显著提升大型项目构建速度;Node.js中间件功能稳定化,支持身份验证和重定向等场景;全面增强TypeScript支持,提供路由类型安全检查;弃用next lint命令,推荐直接使用ESLint。这些改进提升了开发效率和稳定性,建议开发者升级以体验新特性。
CORS解决跨域问题的多个方案 - nginx站点配置 / thinkphp框架内置中间件 / 纯前端vue、vite的server.proxy代理
Rudon滨海渔村的博客
08-25 234
本文实测了三种常见的前后端跨域解决方案:1)Nginx/Apache服务器配置通过添加CORS响应头成功解决跨域问题;2)ThinkPHP框架中,传统中间件AllowCrossDomain有效,而新版跨域扩展不生效;3)Vue/Vite的前端代理配置(server.proxy)在实际测试中无效。文中详细记录了Nginx配置修改项和ThinkPHP中间件的正确使用方法,并指出Vite代理方案可能存在的局限性,为开发者提供了实用的跨域问题排查参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值