学习日志8：web中间件漏洞-WebLogic篇

WebLogic漏洞

什么是WebLogic：WebLogic是美商Oracle的主要产品之一，是并购BEA得来，WebLogic是一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

漏洞：
1.反序列化漏洞
(1)原理：利用了T3协议的缺陷实现了Java虚拟机的RMI，即远程方法调用(Remote Method Invocation)，能够在本地虚拟机上调用远端代码
(2)修复：
版本升级，打补丁
限制T3协议的使用对象

2.SSRF
(1)位置：WebLogic的uudi组件uddiexplorer.war下的SearchPublicRegistries.jsp页面的operator参数
(2)修复：
若不需要uddi组件，可以直接不安装
删除SearchPublicRegistries.jsp页面
限制uddiexplorer应用只能内网访问
其他SSRF防御策略
#修改后缀名？不太懂这种防御方式是什么原理

3.任意文件上传
(1)位置：/ws_utc/begin.do，/ws_utc/config.do
(2)利用：直接上传木马
(3)修复：
升级打补丁
对该页面设置访问控制权限

4.弱口令+war文件的后台部署
同Tomcat：https://blog.csdn.net/m0_37622973/article/details/100554189