学习日志7：web中间件漏洞-JBoss篇

JBoss漏洞

什么是JBoss：
Tomcat服务器是一个免费的开放源代码的Web应用服务器，技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可。其运行时占用的系统资源小，扩展性好，且支持负载平衡与邮件服务等开发应用系统常用的功能。作为一个小型的轻 量级应用服务器，Tomcat在中小型系统和并发访问用户不是很多的场合下被普遍使用，成为目前比较流行的Web 应用服务器。
而JBoss Web采用业界最优的开源Java Web引擎， 将Java社区中下载量最大，用户数最多，标准支持最完备的Tomcat内核作为其Servlet容器引擎，并加以审核和调优。单纯的Tomcat性能有 限，在很多地方表现有欠缺，如活动连接支持、静态内容、大文件和HTTPS等。除了性能问题，Tomcat的另一大缺点是它是一个受限的集成平台，仅能运 行Java应用程序。企业在使用时Tomcat，往往还需同时部署Apache Web Server以与之整合。此配置较为繁琐，且不能保证性能的优越性。
JBoss在Tomcat的基础上，对其进行本地化，将Tomcat以内嵌的方式集成到JBoss 中。JBoss Web通过使用APR和Tomcat本地技术的混合模型来解决Tomcat的诸多不足。混合技术模型从最新的操作系统技术里提供了最好的线程和事件处理。 结果，JBoss Web达到了可扩展性，性能参数匹配甚至超越了本地Apache HTTP服务器或者IIS。譬如JBoss Web能够提供数据库连接池服务，不仅支持JSP等 Java技术，同时还支持其他 Web技术的集成，譬如 PHP和.NET 两大阵营。

漏洞：
1.反序列化漏洞(CVE-2017-12149)
版本：JBoss 5.x/6.x
漏洞位置：/invoker/readonly，检测invoker/readonly目录是否存在，若返回500，一般就是漏洞存在
利用：截断流量，在POST请求中添加序列化的exp，发送至JBoss的/invoker/readonly
修复：
(1)不需要http-invoker.sar 组件的用户可直接删除此组件；
(2)对httpinvoker组件进行访问控制
(3)升级版本

2.war文件的后台部署
同Tomcat：https://blog.csdn.net/m0_37622973/article/details/100554189