龙空技术网

weblogic uudiexplorer漏洞处理

大海清流 103

前言:

现时同学们对“was jsp缓存”大概比较看重,我们都需要剖析一些“was jsp缓存”的相关文章。那么小编在网摘上汇集了一些对于“was jsp缓存””的相关知识,希望咱们能喜欢,咱们快快来了解一下吧!

Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实现包uddiexplorer.war下的SearchPublicRegistries.jsp。

所以修复的直接方法是将SearchPublicRegistries.jsp直接删除就好了;我们这里采用的是改后辍的方式,修复步骤如下:

1.将weblogic安装目录下的wlserver_10.3/server/lib/uddiexplorer.war做好备份

2.将weblogic安装目录下的server/lib/uddiexplorer.war下载

3.用winrar等工具打开uddiexplorer.war

4.将其下的SearchPublicRegistries.jsp重命名为SearchPublicRegistries.jspx

5.保存后上传回服务端替换原先的uddiexplorer.war

6.对于多台主机组成的集群,针对每台主机都要做这样的操作

7.由于每个server的tmp目录下都有缓存所以修改后要彻底重启weblogic(即停应用--停server--停控制台--启控制台--启server--启应用)

(验证如果不重启即便删除服务器上能找到的所有SearchPublicRegistries.jsp的缓存页面,页面依然可以访问;重启后确实不能访问页面)

如果不需要uddi那么也可以直接删除uddiexplorer.war,但要注意在实际操作中发现删除uddiexplorer.war如果没有当即执行重启,那么会数天内uddiexplorer.war会被自动还原。

标签: #was jsp缓存