WebLogic接二连三被曝漏洞,到底是为啥?
▶WebLogic是干嘛的?
WebLogic是美国甲骨文(Oracle)公司的一款知名应用服务中间件,它被用来开发、集成、部署和管理多种大型分布式系统,极大的方便了系统管理,以及简化部署步骤,在世界范围内被广泛运用。在中国常见于电信、政府行业和金融行业。 CNVD秘书处对WebLogic服务在全球范围内的分布情况进行分析,结果显示该服务的全球用户规模约为6.9万,其中位于我国境内的用户规模约为2.9万。▶WebLogic的反序列化好像被爆出很多次?这次是哪个?
WebLogic历代反序列化漏洞(不完全统计):漏洞编号 | 涉及组件/协议 |
CVE-2015-4852 | T3协议 |
CVE-2016-0638 | T3协议 |
CVE-2017-3506 | http协议/wls-wsat组件 |
CVE-2017-10271 | http协议/wls-wsat组件 |
CVE-2018-2628 | T3协议 |
CVE-2018-2893 | T3协议 |
CNVD-C-2019-48814 | http协议/wls-wsat和wls9-async组件 |
▶什么是序列化和反序列化?
Java 序列化是指把Java对象转换为字节序列的过程,来便于保存在内存、文件、数据库中,反序列化即逆过程,由字节流还原成对象,ObjectInputStream类的 readObject()方法用于反序列化。 常见的应用场景例如处理Web服务器中的Session对象。当有大量用户并发访问时,会创建大量session对象,这种时候为了避免内存的大量消耗,Web容器就会把一些seesion先序列化到硬盘中,需要用时再把硬盘中的对象反序列化还原到内存中。 XML序列化同理,使用XMLDecoder解析,进行反序列化。 WebLogic在多种组件中进行了序列化反序列化过程。▶为什么WebLogic的反序列化漏洞修修补补总是被爆出?
WebLogic反序列化漏洞的补丁大都采用黑名单方式过滤不安全的反序列化类,这种修复方式很容易被黑客绕过,典型例如一系列有关T3协议的反序列化漏洞。 历史曾加过的黑名单包括:▶什么是T3协议,什么是wls-wsat组件?
T3协议是WebLogic内部的通讯协议,并且默认都是开启的。 wls-wsat是WebLogic Server大部分版本都默认包含的核心组件之一。▶针对以上漏洞,应该如何防御?
- Step1:打开WebLogic控制台,进入base_domain配置页面,找到右侧“安全”下方的“筛选器”页面,进入连接筛选器配置界面;
- Step2:在连接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问);
- Step3:保存后规则即可生效.无需重新启动。
▶什么是腾讯云Web应用防火墙?
专业的网站防护能力+AI智能识别未知0day
- 1. 千余条防御规则全面防护各种Web入侵攻击,专业攻防团队7x24小时实时迭代防护系统,云端自动升级,保障您的网站防御系统永远处于行业前沿。
- 2. 在防御永远比漏洞晚出现的情况下。Web应用防火墙使用AI学习经验数据,形成行为模型,然后对目标事件做出判断和预测,使产品具备自学习、自进化、自适应的特性,这从检测机制上改变了WAF应对未知0day攻击的被动局面。
- 3. 将机器学习应用到WAF攻击检测中,理论上可以进一步提升当前传统WAF 的能力,帮助企业安全团队从被动防护的困局中突破出来。
稳定的业务风险防护
稳定的低延时高性能VIP专线服务,在隐藏保护源站IP的同时,优质加速线路可保障毫秒级业务延时。更为您提供BOT行为管理/智能防刷、DNS劫持监测、垃圾访问过滤等防护功能,更有价值,更满足业务安全运营和防护的需求。无缝扩展防护
一键无缝接入百G抗DDoS能力,应对敏感大流量DDoS攻击问题,无惧突发风险。部署腾讯云Web应用防火墙
https://cloud.tencent.com/product/waf
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平会见马来西亚总理安瓦尔 7926951
- 2 特朗普“和平方案”曝光 7927028
- 3 多名运动员为王楚钦发声 7833954
- 4 微视频|我的名字 7727626
- 5 鹿晗删了宣传关晓彤新剧的动态 7693641
- 6 重庆多名被查官员曾涉广阳岛项目 7577842
- 7 西安一女生称应聘总助被要求陪睡 7451636
- 8 男子到警局求证发现自己是网上逃犯 7323591
- 9 张小寒爆料黄晓明叶珂分手费内幕 7201390
- 10 马斯克接受采访中儿子突然闯进来 7112928