weblogic控制台的啟動與禁用


在一些安全漏洞掃描中,經常會掃描發現,使用weblogic管理控制台,會有個中危的漏洞。

http://192.168.10.46:7001/console/login/LoginForm.jsp

Weblogic管理頁面直接訪問

我們來看下為啥會出現這樣的漏洞。審查下頁面元素,發現表單輸入項自動開啟填充記住功能。

如下圖所示

這樣的后果是:攻擊者可能試圖嘗試每個可能的字母,數字和符號組合,或使用一些暴力破解工具進行猜測,直到它發現了一個正確的組合,從而進入登錄頁面做進一步深度非法攻擊。

這個是在12c以前的版本會出現這樣的問題。在12c以后的,這個問題已經被解決了。

 可以看到

 <input class="textinput" type="text" autocomplete="off" name="j_username" id="j_username">
 <input class="textinput" type="password" autocomplete="off" name="j_password" id="j_password">

那么如果修改之前的漏洞呢?那就是把控制台功能關閉,就好了。

1.首先進入首頁,點擊域

 2.點擊高級。去掉啟用控制台選項

保存,重啟服務器后發現已經變成404了

3.weblogic禁用后的啟動

打開weblogic目錄C:\Oracle\Middleware\user_projects\domains\base_domain\config\config.xml

將<console-enabled>false</console-enabled>刪除,重啟服務

控制台又可以使用了

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM