weblogic控制台的启动与禁⽤
在⼀些安全漏洞扫描中,经常会扫描发现,使⽤weblogic管理控制台,会有个中危的漏洞。
192.168.10.46:7001/console/login/LoginForm.jsp
Weblogic管理页⾯直接访问
我们来看下为啥会出现这样的漏洞。审查下页⾯元素,发现表单输⼊项⾃动开启填充记住功能
如下图所⽰
这样的后果是:攻击者可能试图尝试每个可能的字母,数字和符号组合,或使⽤⼀些暴⼒破解⼯具进⾏猜测,直到它发现了⼀个正确的组合,从⽽进⼊登录页⾯做进⼀步深度⾮法攻击。
记住我
这个是在12c以前的版本会出现这样的问题。在12c以后的,这个问题已经被解决了。
可以看到
<input class="textinput" type="text" autocomplete="off" name="j_username" id="j_username">
<input class="textinput" type="password" autocomplete="off" name="j_password" id="j_password">
那么如果修改之前的漏洞呢?那就是把控制台功能关闭,就好了。
1.⾸先进⼊⾸页,点击域
2.点击⾼级。去掉启⽤控制台选项
保存,重启服务器后发现已经变成404了
3.weblogic禁⽤后的启动
打开weblogic⽬录C:\Oracle\Middleware\user_projects\domains\base_domain\l
将<console-enabled>false</console-enabled>删除,重启服务
控制台⼜可以使⽤了
==========================================或者
base_domain-->⼀般信息-->⾼级