[转帖]Weblogic的几个安全隐患_Tomcat, WebLogic及J2EE讨论区_Weblogic技术|Tuxedo技术|中间件技术|Oracle论坛|JAVA论坛|Linux/Unix技术|hadoop论坛_联动北方技术论坛  
网站首页 | 关于我们 | 服务中心 | 经验交流 | 公司荣誉 | 成功案例 | 合作伙伴 | 联系我们 |
联动北方-国内领先的云技术服务提供商
»  游客             当前位置:  论坛首页 »  自由讨论区 »  Tomcat, WebLogic及J2EE讨论区 »
总帖数
1
每页帖数
101/1页1
返回列表
0
发起投票  发起投票 发新帖子
查看: 3865 | 回复: 0   主题: [转帖]Weblogic的几个安全隐患        下一篇 
white
注册用户
等级:少校
经验:1327
发帖:305
精华:0
注册:2011-7-21
状态:离线
发送短消息息给white 加好友    发送短消息息给white 发消息
发表于: IP:您无权察看 2011-9-13 11:25:03 | [全部帖] [楼主帖] 楼主

    Weblogic6.1 server存在guest用户(密码guest),用guest/guest访问远程服务器后,本地会生成一个weblogic.security.acl.internal.AuthenticatedUser对象,该对象中用来标志用户身份有效性的用户签名为远程系统system用户的密码、用户账号、对象生成时间三者的信息摘要。AuthenticatedUser对象是可序列化对象,通过重写本地的AuthenticatedUser类,可以读出对象中的签名、账号、生成时间,然后可能暴力破解远程系统的system用户密码。

    Weblogic6.1 server缺省允许用户匿名访问服务器上的部分信息。如匿名用户可以通过Context列出服务器上部署的各种资源,其中最敏感的应属datasource。这样,用户完全可以根据datasource取得数据库连接,从连接中读出数据库中表以及表结构,从而可以像访问本地数据库一样访问企业应用部署在防火墙后的数据库。当然,应用可以对datasource以及其他资源加上安全限制,但很少有人这么做。

    Weblogic5.1、Weblogic6.0中也有这个问题,Weblogic7.0以后取消了guest用户,相对较为安全。

    Weblogic6.1 server域主服务器(administration server)在启动的时候,会缺省部署几个应用: console.war, wl_management_internal1.war, wl_management_internal2.war。console的作用大家都清楚,但后两个internal的应用的用途耐人寻味,大家可以反编译其中的class看看。通过访问wl_management_internal2,远程用户不经授权就可以下载服务器上的部署的应用包,读取敏感的配置文件或者操作系统的其他文件,甚至可以上载部署自己的应用,可以说是对服务器的完全控制。Weblogic的其他版本如Weblogic6.0、Weblogic7.0也存在该漏洞。




赞(0)    操作        顶端 
总帖数
1
每页帖数
101/1页1
返回列表
发新帖子
请输入验证码: 点击刷新验证码
您需要登录后才可以回帖 登录 | 注册
技术讨论