漏洞描述:http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html 修复方式: 1.删除server/lib/uddiexplorer.war下的相应jsp文件. jar -xvf uddiexplorer.war | rm jsp-files | jar -cvfM uddiexplorer.war uddiexplorer/ 2.配置

目录 五. weblogic SSRF 漏洞 UDDI Explorer对外开放 (CVE-2014-4210) 1. 利用过程 2. 修复建议 一.weblogic安装 http://www.cnblogs.com/0x4D75/p/8916428.html 二.weblogic弱口令 http://www.cnblogs.com/0x4D75/p/8918761.html 三.weblogic 后台提权 http://www.cnblogs.com/0x4D75/p/8919760.html

0x01 Weblogic简介 1.1 叙述 Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发.集成.部署和管理大型分布式Web应用.网络应用和 数据库应用的Java应用服务器. Weblogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发.集成.部署和管理之中,是商业市场上主要的Java(Java EE)应用服务器软件之一,也是世界上第一个成功商

前言    什么是ssrf SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞. 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统. 举一个例子: 比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来进行显示,而如果程序写法不严谨或者过滤不严格,则加载图片地址的这个功能

WebService的三要素:SOAP.WSDL和UDDI.soap用来描述传递信息的格式,wsdl描述如何访问具体的接口,uddi管理.分发查询WebService. 1.SOAP SOAP Simple Object Access Protocol简单对象访问协议,是一种简单轻量的交换数据的规范. soap也是基于xml的文档,包括Envelope.header.body等元素.它定义了一个框架,用来描述消息的内容. 如何查看? 我们可以通过工具来了解SOAP的传送数据方式. 1)在MyEc

企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flash的支持 [3]—— IE11 新的GPO设置 [4]—— IE企业模式介绍 [5]—— 不跟踪(DNT)例外 [6]—— Internet Explorer 11面向IT专业人员的常见问题 [7]—— Win7和Win8.1上的IE11功能对比 [8]—— Win7 IE8和Win7 IE11对比

企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flash的支持 [3]—— IE11 新的GPO设置 [4]—— IE企业模式介绍 [5]—— 不跟踪(DNT)例外 [6]—— Internet Explorer 11面向IT专业人员的常见问题 [7]—— Win7和Win8.1上的IE11功能对比 [8]—— Win7 IE8和Win7 IE11对比

企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flash的支持 [3]—— IE11 新的GPO设置 [4]—— IE企业模式介绍 [5]—— 不跟踪(DNT)例外 [6]—— Internet Explorer 11面向IT专业人员的常见问题 [7]—— Win7和Win8.1上的IE11功能对比 [8]—— Win7 IE8和Win7 IE11对比

转至http://www.cnblogs.com/ymind/archive/2012/03/30/explorer-command-args.html 今天才知道,explorer原来可以这样用, 就如我们使用eclipse的 打开文件 对应的 资源管理器位置的功能, 就是这样来的! 摘要 本文讲述explorer.exe(资源管理器)的命令行. 语法 EXPLORER.EXE [/n][/e][,/root,<object>][[,/select],<sub object>]

Unable to extract 64-bitimage. Run Process Explorer from a writeable directory When we run Process Explorer on window system , we may find this issue, because the current login account could not create the file "ProcessExplorer64.exe" into the U

给IE浏览器地址栏输个本地文件路径,会自动用explorer.exe打开,这个挺好的,但是IE对jQuery稍微高点的版本不怎么待见,只好自己给Google折腾一个调用explorer的功能------ 1.自定义URL Protocol 协议,让浏览器可以启动本地程序 2.编写c++控制台程序:解码从浏览器传递过来的url(url===utf-8===Unicode===gb2312)-->将链接路径头部去掉-->替换"|"为"\\"(解码的时候会把u

explorer是Windows程序管理器或者文件资源管理器. 用于管理Windows图形壳.(桌面和文件管理.) 删除该程序会导致Windows图形界面无法使用. explorer.exe进程是微软为其Windows操作系统定义的系统核心进程. 后来微软将其称为"文件资源管理器". 在功能上,explorer.exe进程为用户提供了图形界面(图形克). 简单的来说就是用来显示系统的桌面环境的,包括开始菜单.桌面下方的任务栏.桌面图标和文件管理. IE Internet Explore

一.IBM WebSphere MQ7.0的jdbc支持数据库有: DB2 Informix Informix_With_Date_Format Microsoft_SQL_Server Oracle Sybase_JConnect6_05 本文以server 2008 r2的jdbc为例,以两种方法建jdbc,详情如下: 二.建sqlserver的jdbc 1.打开MQ资源管理器,WebSphere MQ Explorer 2.右键点击[可配置服务],选择[新建]-[可配置服务] 3.输入jd

说一个牛B的不像实力派的东西 — 更改eclipse的Package Explorer的字体1. 打开eclipse目录/Applications/Eclipse.app/Contents/Eclipse/plugins/org.eclipse.ui.themes_1.1.0.v20150511-0913/css/2. 打开e4_basestyle.css,添加一行代码 CTabFolder Tree { font-size: 13px;} 或者在相应的主题对应的css里面修改即可,因为这样可以

这是一款由Sysinternals开发的Windows系统和应用程序监视工具,目前Sysinternals已经被微软收购,此款不仅结合了文件监视和注册表监视两个工具的功能,还增加了多项重要的增强功能,此工具支持64位Windows系统 很多人可能把这款工具只当成TaskManager(任务管理器)的替代品,其实这样只能说是高射炮打蚊子,大材小用了,作为windows开发工程师,我极力推荐在编码和调试过程中使用此工具,下面介绍一下Process Explorer在开发过程中的用处. 一.Proce

刚刚解压的eclipse中一般没有下面如图所示的这个操作,不能快速进入所选中的文件在Windows资源管理器所在的目录 我们需要下载OpenExplorer.jar包,放到eclipse解压后的dropins路径下如图: 重启eclipse,就能看见Open Explorer的操作,点击它,就能直接进入Windows资源管理器中打开选中文件所在的目录. 注:OpenExplorer相关的jar下载:https://pan.baidu.com/s/1pKIEF4B

在调优过程中的查询语句优化阶段,分析语句的执行计划是必经之路,一款好的执行计划分析工具确实可以帮助我们事半功倍 小贴士:Plan Explorer是将Plan Explorer 专业版与免费版整合在一起发布的全新.完全免费版.微软的数据库专家和开发人员也在用哦.现在,整个功能集全免费的,对于DBA来说,福利啊! Plan Explorer主要功能介绍: 1. 通过执行计划表格或图形形式,快速定位存储过程中的哪个语句Statement使用总资源最多(百分比),IO读写的比较多(线的粗细). 2.

SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. 基础原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统. 根据相关技术原理,SQ

var appInsights=window.appInsights||function(config){ function r(config){t[config]=function(){var i=arguments;t.queue.push(function(){t[config].apply(t,i)})}}var t={config:config},u=document,e=window,o="script",s=u.createElement(o),i,f;for(s.src

原文出处:Browser Helper Objects: The Browser the Way You Want It一.简介 有时,你可能需要一个定制版本的浏览器.在这种情况下,你可以自由地把一些新颖但又不标准的特征增加到一个浏览器上.结果,你最终有的只是一个新但不标准的浏览器.Web浏览器控件只是浏览器的分析引擎.这意味着仍然存在若干的与用户接口相关的工作等待你做――增加一个地址栏,工具栏,历史记录,状态栏,频道栏和收藏夹等.如此,要产生一个定制的浏览器,你可以进行两种类型的编程――一种象