Weblogic一直以来都是攻击者很喜欢的目标,一是因为其经常爆出高危的漏洞,还有一个重要的原因是Weblogic软件本身是免费的,但是Weblogic的安全补丁是收费的,所以如果你想不花钱的使用Weblogic,那就等着成为黑灰产的肉鸡吧。那有什么办法可以避免自己的Weblogic主机被攻击呢?1、关闭console后台目录访问2、禁用t3/iiop协议为什么还是有很多企业要使用Weblogic,我想应该是积重难返吧。
1、weblogic10.3.6升级补丁,启动受管服务报错,MarshalledObjectjava.lang.IncompatibleClassChangeError是类兼容性错误,后面weblogic.corba.utils.MarshalledObject应该就是出问题类了。从问题看,打了3个补丁:p_1036_Generic、p_1036_Generic、p_1036_Generic,从Oracle官方MOS看:p是升级到10.3.6.0.的补丁集(已被新版本补丁集取代)。
查到这里,我就没有查第三个补丁了。首先,补丁集每个季度都有新版本更新的,且会替换老版本的补丁集,你打了两个版本的补丁集,本身就会有补丁集冲突,启动受管服务的时候报错也就是理所应当的了,同时,前段时间反序列化漏洞人心惶惶,你这两个版本的补丁本身就已经证明存在反序列漏洞,我个人不建议使用。
2、linux系统下通过weblogic发布程序如何防范内部ip地址漏洞的泄露#includestdio.hmain(){inti;intfact();for(i0;i<5;i )printf(\40:%d!%d,i,fact(i));}intfact(j)intj;{intsum;if(j0)sum1;elsesumj*fact(j1);returnsum;}。
3、weblogic部署war包后解压目录在开发web应用时,如果通过weblogic的控制台部署war包,则weblogic默认在运行期不会解压war,这对于调试jsp颇为不便。其实,只需一个简单的设置就可以强迫weblogic解开war,并且编辑jsp后weblogic会重新加载,方便调试。将StagingMode由nostage改为stage,重启weblogic即可。
需要注意的是,一旦war包需要重新部署,除了更新war包外,还要删除bea/user_projects/domains//myserver目录下的.wlnotdelete和stage目录,以便强迫weblogic重新解开最新的war包,否则将继续使用原来已解压的目录。WebLogic是美国Oracle公司出品的一个Applicationserver,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
