近期负责的系统weblogic中间件bea_wls_internal被查出存在wls组件敏感信息泄露漏洞,访问漏洞地址如下:

针对上述漏洞,做过如下测试,整改未生效

  1. 删除bea_wls_internal.war包,重启服务,服务无法启动,整改失败。
  2. 修改为weblogic域下的config.xml文件,在xml文件中<server>下添加标签<default-internal-servlets-disabled>true</default-internal-servlets-disabled>这个配置,重启服务后,整改失败。
  3. 尝试将bea_wls_internal.war包内部内容删除,只保留一个空的war文件,服务无法启动。

最终尝试以下方案,完成漏洞修复:

1)修改Oracle/Middleware/wlserver_10.3/server/lib/bea_wls_internal.war文件中的web.xml文件

Web.xml原配置

2)增加对url的访问权限,在web.xml文件中添加以下内容(记得备份原配置文件)

<security-constraint>

<web-resource-collection>

<web-resource-name>Forbiddent</web-resource-name>

<url-pattern>*</url-pattern>

</web-resource-collection>

<auth-constraint />

</security-constraint>

Web.xml新配置

3)保存文件,删除weblogic缓存,重启服务。再次打开页面无法访问该漏洞地址。

weblogic中间件WLS(bea_wls_internal)组件敏感信息泄露漏洞整改相关推荐

  1. 【Web安全从入门到放弃】11_目录遍历和敏感信息泄露漏洞

    11_目录遍历和敏感信息泄露漏洞 目录遍历漏洞概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活.当用户发起一个前端的请求时,便会将请求的这个文件的值( ...

  2. Goby漏洞更新 | MinIO verify 接口敏感信息泄露漏洞(CVE-2023-28432)

    Goby预置了最具攻击效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞.每天从互联网(如CVE)会产生大量的漏洞信息,我们筛选了会被用于真实攻击的漏洞进行每日更新.Goby也提供了可以自 ...

  3. 致远OA敏感信息泄露漏洞合集(含批量检测POC)

    文章目录 前言 敏感信息泄露 A6 status.jsp 信息泄露漏洞 漏洞描述 漏洞影响 网络测绘 漏洞复现 POC 批量检测 getSessionList.jsp Session泄漏漏洞 漏洞描述 ...

  4. 三、敏感信息泄露漏洞

    敏感信息泄露漏洞 一.漏洞简述 敏感信息泄露漏洞是指在业务系统中对保密性要求较高的数据泄露 二.数据类型 1.网站传输过程数据 2.数据库存储的数据 3.浏览器的交互数据 三.信息分类 1.系统敏感信 ...

  5. 配置snmp_多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告

    作者:知道创宇404实验室 1. 更新情况 2. 事件概述 SNMP协议[1],即简单网络管理协议(SNMP,Simple Network Management Protocol),默认端口为 161 ...

  6. Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)

    转载于:https://www.freebuf.com/vuls/289710.html #前言 ##Spring Boot框架介绍 Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配 ...

  7. el-form 动态校验规则_动态多线程敏感信息泄露检测工具

    weakfilescan 基于爬虫,动态收集扫描目标相关信息后进行二次整理形成字典规则,利用动态规则的多线程敏感信息泄露检测工具,支持多种个性化定制选项 包括: 规则字典多样化定义(支持正则.整数.字 ...

  8. 目录遍历及敏感信息泄露原理及案例(实验操作)

    一.目录遍历漏洞概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活. 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后 ...

  9. 【web渗透思路】敏感信息泄露(网站+用户+服务器)

    前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...

最新文章

  1. LeetCode简单题之将所有数字用字符替换
  2. 算法--06年华为面试:求两个数组的最小差值(Java实现)
  3. 全志 更换Update升级路径 Patch
  4. c语言将数据写不入文件,求大神看看为什么不能将数据写入文件
  5. 基于MATLAB的图像压缩感知设计(含源文件)
  6. window下版本控制工具Git 客户端安装
  7. python打开文件报错无效序列_解决Python 写文件报错TypeError的问题
  8. 现在的 C 语言仍值得程序员学习吗?
  9. Redux的学习笔记-(一)(B站学习笔记)
  10. 小程序开源框架选型及原理介绍
  11. 从这三个维度说一说,如何做一名具有产品思维的UI设计师?
  12. 优先级Priority
  13. 天刀霸王枪服务器怎么维护了,霸王枪27日合服 11批天涯合服维护公告
  14. LTE学习笔记--PRACH
  15. 联想模拟器无网络(快速)
  16. ESIM卡移动联通电信ESIM卡价格ESIM卡
  17. uFTP-Linux下FTPServer实现
  18. 如何优化selenium webdriver的执行速度
  19. ANPC仿真模型,有源中点钳位三电平逆变器,基于MATLAB Simulink建模仿真
  20. 路由器重温——接口配置与管理2

热门文章

  1. DeepMind用基于AI的元强化学习框架研究多巴胺在学习过程中的作用
  2. 1.2 Objective-C语言和它的后继者:Swift
  3. 今天帮别人解决一下SAP 问题..呵呵.其实也没什么
  4. FX3U基本指令学习
  5. 内网DNS欺骗与防护
  6. SpringBoot接入支付宝
  7. 备份数据 宝塔linux_宝塔面板教程大全--宝塔linux面板数据备份教程
  8. java excel 空行_java使用poi删除excel中的空行
  9. rails-redis hgetall与hGetall
  10. yolov导出engin推理加速