weblogic反序列化漏洞,有啥工具可以测试打补丁前后的差别?

为啥一直有打不完的反序列化漏洞补丁,反序列化漏洞到底是啥?只知道weblogic内部会对一些数据做序列化。是否有啥工具可以测试打补丁前后的差别?或求一些较好资料能深入浅出的帮助认识。

新人问题,谢谢老师回答

1回答

HelloWorDomainHelloWorDomain  其它 , 上海东方龙马
ACDante王巧雷yinxin等赞同了此回答
1、反序列漏洞是什么A:序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。所谓反序列化漏洞,就是黑帽子们利用WLS公布的web service接口,将恶意代码通过流注入生成为对象,进而远程执行恶意命令。 2、补丁前后的差别A、1、通过bs...显示全部

1、反序列漏洞是什么
A:序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。所谓反序列化漏洞,就是黑帽子们利用WLS公布的web service接口,将恶意代码通过流注入生成为对象,进而远程执行恶意命令。

2、补丁前后的差别
A、
1、通过bsu命令可以看到补丁版本
2、控制台可以看到Server版本
3、利用POC代码进行恶意攻击测试

3、求资料
A、官方文档是最权威的资料,docs.oracle.com中可以看到公众资料。一些内部资料需要SR才能浏览,当然你也可以在社区留问题问我。

收起
 2019-05-10
  • 谢谢老师,回答好清晰!关于利用官方文档进行学习的方法 能给一些建议吗?比如先读什么,怎样的过程,会比较有收获。谢谢
    2019-05-10
  • 首先阅读基本安装部分。以及基础概念部分 充分了解什么是Domain,什么是AdminServer,什么是ManagerServer. 了解三种安装模式:图形安装,静默安装、命令行安装。 然后了解控制台各部分功能,尝试自己写个简单的应用部署,添加数据源。 最后了解安全策略故障处理,和调优。 加油喔
    2019-05-10

问题状态

  • 发布时间:2019-05-10
  • 关注会员:2 人
  • 问题浏览:805
  • 最近回答:2019-05-10
  • 关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
    © 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30