java 反序列化漏洞检测及修复

Jboss、Websphere和weblogic的反序列化漏洞已经出来一段时间了,还是有很多服务器没有解决这个漏洞;

反序列化漏洞原理参考:JAVA反序列化漏洞完整过程分析与调试

这里参考了网上的 Java反序列化工具 - Java Deserialization Exp Tools ,来检测weblogic服务器反序列化漏洞;

该工具可以检测weblogic、jboss、websphere服务器,下载地址:http://pan.baidu.com/s/1miKplsW

image

如图上所示,输入weblogic的http地址,执行服务器命令,成功在服务器上执行了系统命令,说明漏洞存在;

这里修复,使用image 3.2.2版本重命名替换之前Middleware\modules下的的3.2.0版本;完成漏洞修复;

posted @ 2016-04-19 15:25  sl521100  阅读(6159)  评论(1编辑  收藏  举报