摘要： 漏洞描述：CVE-2019-2618漏洞主要是利用了WebLogic组件中的DeploymentService接口，该接口支持向服务器上传任意文件。攻击者突破了OAM（Oracle Access Management）认证，设置wl_request_type参数为app_upload，构造文件上传格 阅读全文

摘要： 漏洞参考 https://blog.csdn.net/csacs/article/details/87122472 漏洞概述:在 WebLogic 里，攻击者利用其他rmi绕过weblogic黑名单限制，然后在将加载的内容利用readObject解析，从而造成反序列化远程代码执行该漏洞，该漏洞主要由 阅读全文

摘要： 漏洞描述：WebLogic的 WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞，可以构造请求对运行WebLogic中间件的主机进行攻击，执行任意命令 受影响WebLogic版本： 10.3.6.0. 阅读全文

摘要： Weblogic中存在一个SSRF漏洞，利用该漏洞可以发送任意HTTP请求，进而攻击内网中redis、fastcgi等脆弱组件。 修复方式： 1.删除server/lib/uddiexplorer.war下的相应jsp文件。 #> jar -xvf uddiexplorer.war #> rm js 阅读全文

摘要： 描述：部分版本WebLogic中默认包含的wls9_async_response包，为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意 HTTP 请求，获得目标服务器的权限，在未授权的情况下远程执行命令。 具体原理分析自行百 阅读全文

摘要： Apache Shiro是一个Java安全框架，执行身份验证、授权、密码和会话管理。 shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的，就 阅读全文