Jboss、Websphere和weblogic的反序列化漏洞已經出來一段時間了,還是有很多服務器沒有解決這個漏洞;
反序列化漏洞原理參考:JAVA反序列化漏洞完整過程分析與調試
這里參考了網上的 Java反序列化工具 - Java Deserialization Exp Tools ,來檢測weblogic服務器反序列化漏洞;
該工具可以檢測weblogic、jboss、websphere服務器,下載地址:http://pan.baidu.com/s/1miKplsW
如圖上所示,輸入weblogic的http地址,執行服務器命令,成功在服務器上執行了系統命令,說明漏洞存在;
這里修復,使用
3.2.2版本重命名替換之前Middleware\modules下的的3.2.0版本;完成漏洞修復;