JBoss4 反序列化漏洞
来源:互联网 发布:不怎么花钱的网络手游 编辑:程序博客网 时间:2024/06/11 10:58
JBOSS反序列化漏洞修改方案及验证
漏洞现象:
可以操控远程服务器
1、上传文件:
上传文件:
查看一下根目录是否存在test.xml文件
2、远程操作服务器
在CMD输入命令操控服务器
删除文件:
删除前处在test.xml文件
在CMD输入:rm -rf test.txt
已经将文件删除
解决方案:
删除JBoss自带jar包 commons-collections jar 中的 InvokerTransformer, InstantiateFactory, 和 InstantiateTransfromer class 文件
修改前commons-collections jar大小为545K 修改后为534K
修改后验证:
1、 上传文件
到服务器根目录下查看是否有文件test_now.txt
已经无法上传文件。
2、 远程操纵服务器
执行命令后无响应。
证明反序列化漏洞已解决。
0 0
- JBoss4 反序列化漏洞
- JAVA反序列化漏洞
- weblogic 反序列化漏洞
- Java反序列化漏洞详解
- java反序列化漏洞解决方案
- Java反序列化漏洞修复方案
- Java反序列化漏洞加固方法
- Java反序列化漏洞详解
- SHIRO-550 反序列化漏洞分析
- 理解php反序列化漏洞
- php 反序列化漏洞概览
- jackson反序列化漏洞分析
- fastjson反序列化漏洞分析
- Fastjson反序列化漏洞分析
- Apache Kafka 反序列化漏洞分析
- Java 反序列化漏洞原理
- PHP反序列化漏洞学习总结
- Jdk7u21 反序列化漏洞Gadget原理
- cocos2dx使用正则式例子
- Spring MVC是什么
- android java和js交互
- 【按键】[独立按键] - 2:双击
- [ iOS ] 微信分享图片问题解决
- JBoss4 反序列化漏洞
- redis in action 笔记
- storm的消息格式分析
- 2014山东省第五届ACM省赛 Weighted Median
- Rod DoT Hint
- Linux下查看网关方法
- AngularJS中serivce,factory,provider的区别
- Java HashMap工作原理及实现
- Facebook POP 进阶指南