Skip to content

Open-Source Security Architecture JBoss漏洞总结

Open-Source Security Architecture

ossa
Account security
Account security
- 保障账户体系的安全
Application security
Application security
- 应用安全
- Code audit
  Code audit
- Mobile security
  Mobile security
- Sdl
  Sdl
- Security defense
  Security defense
- Security testing
  Security testing
  - 安全测试
  - API安全测试
  - APP安全测试
  - 安全测试checklist
  - DAST&SAST&IAST
  - Tools skills
    Tools skills
    
    APP脱壳技巧
    
    https抓包
    
    抓包技巧
    
    信息泄漏漏洞利用
    
    Web安全工具
- Vulnerability management
  Vulnerability management
  - 漏洞管理
  - defectdojo
- Web security scan
  Web security scan
  - Web安全扫描
Big data
Big data
Captcha security
Captcha security
- 验证码安全总结
Code audit
Code audit
- Cobra代码审计工具
- 智能合约代码审计
Data security
Data security
- 大数据安全核心技术（摘自CSDN）
- 【转载】从救火到先知-DNS安全分析场景实践谈
Honeypot
Honeypot
- Kippo SSH蜜罐
Iam
Iam
- GitLab接入FreeIPA
Ids ips
Ids ips
- Aide基于文件入侵检测系统
- Wazuh主机入侵检测系统
Infrastructure security
Infrastructure security
- 基础设施安全
- Container
  Container
  - 容器安全建设
  - 容器安全工具
- Host security
  Host security
  - 主机安全
  - Fortress machine
    Fortress machine
    
    jumpserver 开源堡垒机
  - Honeypot
    Honeypot
    
    蜜罐技术
    
    MHN蜜罐
  - Host security scan
    Host security scan
    
    主机安全扫描
    
    开源扫描器
    
    端口安全
  - Ids ips
    Ids ips
    
    主机入侵检测&防御系统
    
    aide 文件和目录完整性入群检测
    
    osquery 操作系统检测与分析
    
    wazuh 主机入侵检测系统
  - Log analysis
    Log analysis
    
    日志分析
    
    ELK监控报警系统-elastalert
    
    Graylog日志管理系统
    
    Graylog高级使用
- Network security
  Network security
  - 网络安全
  - Cc dos ddos
    Cc dos ddos
    
    应用层拒绝服务攻击
    
    拒绝服务攻击
  - Ids ips
    Ids ips
    
    bro 网络安全监控
  - Network security monitor
    Network security monitor
    
    GitHub信息泄漏监控
  - Office network security
    Office network security
    
    办公网网络安全
    
    邮件安全
    
    gophish 开源钓鱼工具
Log analysis
Log analysis
Miscellaneous
Miscellaneous
- 白帽子转型甲方杂绪
Network security
Network security
- CC应用层拒绝服务攻击
- DoS与DDoS拒绝服务攻击
Other security branch
Other security branch
- Asset management
  Asset management
  - 资产管理
  - 资产管理平台
- Data security
  Data security
  - 数据安全
  - Big data security
    Big data security
    
    大数据安全
- Devsecops
  Devsecops
  - Gitlab+Jenkins+SonarQube 实现代码审计指南
  - SonarQube集成DependencyCheck
- Emergency response
  Emergency response
- Identity and access security
  Identity and access security
  - 基于Linux开源身份认证体系FreeIPA
- Security operation
  Security operation
  - 产品安全设计Checklist
  - 中小型企业自建安全平台
- Virtualization security
  Virtualization security
  - Docker安全总结
Red vs blue
Red vs blue
Security notes
Security notes
- 安全中英文对应
Security tools
Security tools
- CC漏洞利用工具
- DoS与DDoS利用工具
Study notes
Study notes
Vulnerability
Vulnerability
- 账户逻辑漏洞
- APP安全漏洞
- 信息泄漏
- JBoss漏洞总结 JBoss漏洞总结
  Table of contents
- SQL注入
- 未授权访问漏洞
- 微信APPId与APPSecret泄漏
Waf
Waf
- 基于iptables实现waf

JBoss漏洞总结

JBoss控制台弱口令

jmx-console：admin/admin、jboss/jboss
admin-console：admin/admin、jboss/jboss

后台部署war包GetShell

进入jmx-console后台；
找到jboss.deployment，点击flavor=URL,type=DeploymentScanner；
找到void.addURL()，在输入框中写入一个war包地址，war包包含一个webshell；
点击invoke获取一个jsp的webshell地址；

修复方案

JBoss JMX 控制台弱口令漏洞

JBoss反序列化

反序列化主要影响JBoss5.x和JBoss6.x