Jboss 反序列化 (CVE-2017-12149)

水下月 2021-03-22
Web安全 发布于 2021-03-22 17:33:56 阅读 251 评论 0

搭建靶机环境
使用docker 搭建环境
安装配置成功后启动服务通过另一个虚拟机访问:
.

接下来我们先看下这个漏洞能干什么,直接使用暴力工具jboss-_CVE-2017-12149-master,(下载地址:github.com/yunxu1/jbos…

Jboss 反序列化(CVE-2017-12149)的原理

Java序列化就是指把Java对象转换为字节序列的过程,在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。

Java反序列化就是指把字节序列恢复为Java对象的过程,根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。

修复方案

一:修改web.xml文件
二:不需要http-invoker.sar组件的直接删除
三:升级jboss到jboss7x版本

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!