weblogic中间件WLS(bea_wls_internal)组件敏感信息泄露漏洞整改
近期负责的系统weblogic中间件bea_wls_internal被查出存在wls组件敏感信息泄露漏洞,访问漏洞地址如下:
针对上述漏洞,做过如下测试,整改未生效。
- 删除bea_wls_internal.war包,重启服务,服务无法启动,整改失败。
- 修改为weblogic域下的config.xml文件,在xml文件中<server>下添加标签<default-internal-servlets-disabled>true</default-internal-servlets-disabled>这个配置,重启服务后,整改失败。
- 尝试将bea_wls_internal.war包内部内容删除,只保留一个空的war文件,服务无法启动。
最终尝试以下方案,完成漏洞修复:
1)修改Oracle/Middleware/wlserver_10.3/server/lib/bea_wls_internal.war文件中的web.xml文件
Web.xml原配置
2)增加对url的访问权限,在web.xml文件中添加以下内容(记得备份原配置文件)
<security-constraint>
<web-resource-collection>
<web-resource-name>Forbiddent</web-resource-name>
<url-pattern>*</url-pattern>
</web-resource-collection>
<auth-constraint />
</security-constraint>
Web.xml新配置
3)保存文件,删除weblogic缓存,重启服务。再次打开页面无法访问该漏洞地址。
weblogic中间件WLS(bea_wls_internal)组件敏感信息泄露漏洞整改相关推荐
- 【Web安全从入门到放弃】11_目录遍历和敏感信息泄露漏洞
11_目录遍历和敏感信息泄露漏洞 目录遍历漏洞概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活.当用户发起一个前端的请求时,便会将请求的这个文件的值( ...
- Goby漏洞更新 | MinIO verify 接口敏感信息泄露漏洞(CVE-2023-28432)
Goby预置了最具攻击效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞.每天从互联网(如CVE)会产生大量的漏洞信息,我们筛选了会被用于真实攻击的漏洞进行每日更新.Goby也提供了可以自 ...
- 致远OA敏感信息泄露漏洞合集(含批量检测POC)
文章目录 前言 敏感信息泄露 A6 status.jsp 信息泄露漏洞 漏洞描述 漏洞影响 网络测绘 漏洞复现 POC 批量检测 getSessionList.jsp Session泄漏漏洞 漏洞描述 ...
- 三、敏感信息泄露漏洞
敏感信息泄露漏洞 一.漏洞简述 敏感信息泄露漏洞是指在业务系统中对保密性要求较高的数据泄露 二.数据类型 1.网站传输过程数据 2.数据库存储的数据 3.浏览器的交互数据 三.信息分类 1.系统敏感信 ...
- 配置snmp_多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告
作者:知道创宇404实验室 1. 更新情况 2. 事件概述 SNMP协议[1],即简单网络管理协议(SNMP,Simple Network Management Protocol),默认端口为 161 ...
- Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)
转载于:https://www.freebuf.com/vuls/289710.html #前言 ##Spring Boot框架介绍 Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配 ...
- el-form 动态校验规则_动态多线程敏感信息泄露检测工具
weakfilescan 基于爬虫,动态收集扫描目标相关信息后进行二次整理形成字典规则,利用动态规则的多线程敏感信息泄露检测工具,支持多种个性化定制选项 包括: 规则字典多样化定义(支持正则.整数.字 ...
- 目录遍历及敏感信息泄露原理及案例(实验操作)
一.目录遍历漏洞概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活. 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后 ...
- 【web渗透思路】敏感信息泄露(网站+用户+服务器)
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
最新文章
- LeetCode简单题之将所有数字用字符替换
- 算法--06年华为面试:求两个数组的最小差值(Java实现)
- 全志 更换Update升级路径 Patch
- c语言将数据写不入文件,求大神看看为什么不能将数据写入文件
- 基于MATLAB的图像压缩感知设计(含源文件)
- window下版本控制工具Git 客户端安装
- python打开文件报错无效序列_解决Python 写文件报错TypeError的问题
- 现在的 C 语言仍值得程序员学习吗?
- Redux的学习笔记-(一)(B站学习笔记)
- 小程序开源框架选型及原理介绍
- 从这三个维度说一说,如何做一名具有产品思维的UI设计师?
- 优先级Priority
- 天刀霸王枪服务器怎么维护了,霸王枪27日合服 11批天涯合服维护公告
- LTE学习笔记--PRACH
- 联想模拟器无网络(快速)
- ESIM卡移动联通电信ESIM卡价格ESIM卡
- uFTP-Linux下FTPServer实现
- 如何优化selenium webdriver的执行速度
- ANPC仿真模型,有源中点钳位三电平逆变器,基于MATLAB Simulink建模仿真
- 路由器重温——接口配置与管理2