在过去的一年里，中间件（Java EE应用服务器）相关的几个安全漏洞被攻击利用的事件越来越多地出现在公众的视野中，从前几年发现、修复后又不断出现新问题的Apache Struts 2注入漏洞，到今年非常火爆的Java反序列化漏洞，还有一直就没消停过的XSS（跨站脚本）和SSRF（服务端请求伪造）攻击、Web应用弱密码暴力破解，中间件（Java EE应用服务器）的安全状况需要愈加关注和防护。

云和恩墨作为专业的服务公司，已经就这些漏洞形成了专业全面的解决方案，开始在中间件领域为用户提供服务，如果您这面对这些问题，欢迎与我们取得联络。

以下就这几个常用的中间件（Java EE应用服务器）相关的安全漏洞进行说明。

Java反序列化漏洞

• 危害等级：高

  
  

• 影响面积：较大（涉及WebLogic、WebSphere、JBoss大多数版本，特别是对公网开放访问权限的业务系统）

  
  

• 漏洞背景：2015年11月6日，FoxGlove Security安全团队的breenmachine在一篇博客中介绍了如何利用Java反序列化漏洞，来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用软件，实现远程代码执行。

  
  

  然而早在2015年的1月28号，Gabriel Lawrence (gebl)和Chris Frohoff (frohoff)在AppSecCali上给出了一个报告，报告中介绍了Java反序列化漏洞可以利用Apache Commons Collections这个常用的Java库来实现任意代码执行，由此可见一斑，该漏洞已在各种地下黑色产业链中流传了一段时间，恐怕已经有不少的网站被黑客拿下。

  
  

• 漏洞描述：攻击者可以利用Apache Commons Collections这个常用的Java库远程随意执行代码，而WebLogic、WebSphere、JBoss、Jenkins、OpenNMS等产品中均使用了Apache Commons Collections这个开源类库组件。简单来讲，就是不需要知道WebLogic、WebSphere、JBoss管理账户的情况下，执行任何Java代码。

  
  

  ps. Java序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。

  
  

可查访问 wooyun.org 了解已被通报的公司，下面为部分披露信息截图：

Weblogic UDDI Explorer XSS（跨站脚本）和SSRF（服务端请求伪造）攻击漏洞

• 危害等级：中

• 影响面积：大（几乎涵盖所有WebLogic版本，特别是对公网开放访问权限的业务系统）。

• 漏洞描述：攻击者利用WebLogic UDDI Explorer（发布和查找Web Service用的）可窥探内网的IP地址和端口开放情况。

可查访问 wooyun.org 了解已被通报的公司。下面为部分披露信息截图：

本地文件包含(LFI)攻击引起的WebLogic Server进程耗尽CPU资源最终导致应用不可用的漏洞

• 危害等级：高

• 影响面积：大（WebLogic 9.0 - 10.3.5所有版本，特别是对公网开放访问权限的业务系统）

• 漏洞描述：攻击者利用类似下面的本地文件包含（LFI）请求WebLogic Server（9.0 - 10.3.5）

  GET /portal/..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5Cwindows%5Cwin.ini HTTP/1.1

  GET /portal/..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5Cwindows/win.ini HTTP/1.1

  GET /portal/..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5Cetc/passwd HTTP/1.1

查看本地的文件/目录列表或内容，还可以上传文件。

后台WebLogic Server进程将会耗尽所在主机的CPU资源：

上述一些漏洞在互联网上已有很多利用工具，总是有些”好事之徒”进行一些友好的、不友好的探测，影响正常的生产工作和企业形象。消除已知的、未知的安全漏洞隐患刻不容缓，尤其是对互联网开放权限的系统。

云和恩墨已针对中间件可能发生的漏洞形成了体系的安全保障服务：