Weblogicの脆弱性(1) Weblogicの基本入門

開発 2023-08-26 19:10:41 訪問数: null

Weblogic の基本入門

WebLogic は、米国 Oracle Corporation が開発したアプリケーション サーバーです。正確に言うと、JAVAEE アーキテクチャに基づいたミドルウェアです。WebLogic は、大規模な分散 Web アプリケーション、ネットワーク アプリケーションを開発、統合、展開、管理するための Java アプリケーション サーバーです。そしてデータベースアプリケーション。Java の動的機能と Java Enterprise 標準のセキュリティを大規模ネットワーク アプリケーションの開発、統合、展開、管理に導入します。大規模な商業プロジェクトに適しています。

WebLogic は最初に WebLogic Inc. によって開発され、その後 BEA Corporation に合併され、最終的に BEA Corporation は Oracle Corporation に合併されました。WebLogic は Web サイトを構築するために必要なソフトウェアです。Web ページの解析や公開などの機能を備えています。純粋な言語で開発されています。ジャワ。weblogic は元々 BEA によって発明されたものではなく、他社から購入され、その後処理および拡張されました。BEA は Oracle に買収されており、Weblogic の最新バージョンは Oracle Weblogic Server 12c (12.2.1.3) です。他の J2EE アプリケーション サーバーには、IBM の WebSphere、Sun (Sun は ORACLE に買収されました)、Glassfish、樹脂などが含まれます。Apache Tomcat も、一般的に使用されるサーブレット/JSP コンテナです。国内メーカーは、Zhongchuang Software の Loong AS 9.0 (最大 4 レベルのセキュリティ、国内生産を完全サポート)、Dongfangtong の Tongweb、Kingdee Apusic アプリケーション サーバーも生産しています。

WebLogic は長い間、市場で最高の J2EE ツールの 1 つと考えられてきました。データベースやメール サーバーと同様、WebLogic Server はクライアントには見えず、接続されているクライアントにサービスを提供します。WebLogic の最も一般的な用途は、インターネット上またはインターネット上の Web サービスに安全なデータ駆動型アプリケーションを提供することです。WebLogic の J2EE アーキテクチャのサポート: WebLogic Server は、SUN J2EE アーキテクチャのサポートを提供します。SUN の J2EE アーキテクチャは、企業向けの分散アプリケーションをサポートする全体的なフレームワークです。ERP システムや CRM システムなどのバックエンド システムを統合し、エンタープライズ レベルのコンピューティングを実現するためのシンプルでオープンな標準を提供します。

ミドルウェア

ミドルウェアとは、ソフトウェア コンポーネントまたはエンタープライズ アプリケーションを接続するソフトウェアを指します。ミドルウェアは、分散コンピュータ ネットワークの両側でオペレーティング システムとアプリケーション プログラムの間に位置するソフトウェア層です。これは「ソフトウェアの接着剤」と表現できます。通常、複雑な分散ビジネス ソフトウェア アプリケーションをサポートします。

ここに画像の説明を挿入

オラクルは、ミドルウェアを Web サーバー、アプリケーション サーバー、コンテンツ管理システム、およびアプリケーションの開発と配信をサポートする同様のツールで構成されていると定義しており、通常は Extensible Markup Language (XML)、Simple Object Access Protocol (SOAP)、Web サービス、テクノロジに基づいています。 SOA、Web 2.0、Lightweight Directory Access Protocol (LDAP) など。

オラクル・フュージョン・ミドルウェア

Oracle Fusion MiddlewareはOracleが提案した概念であり、複雑な分散ビジネス・ソフトウェア・アプリケーションに対するソリューションとサポートを提供します。Oracle Fusion Middlewareは一連のソフトウェア製品であり、Java Enterprise Edition 5 (Java EE)準拠の開発およびランタイム環境、ビジネス・インテリジェンス、コラボレーションおよびコンテンツ管理などの一連のツールおよびサービスが含まれています。Oracle Fusion Middlewareは、開発、デプロイメントおよび管理に対する包括的なサポートを提供します。Oracle Fusion Middlewareは通常、次の図に示すようなソリューションを提供します。

ここに画像の説明を挿入

Oracle Fusion Middlewareは、次の2種類のコンポーネントを提供します。

  • Java コンポーネント

Java コンポーネントは 1 つ以上の Java アプリケーションをデプロイするために使用され、Java コンポーネントはドメイン テンプレートとして Oracle WebLogic Server ドメインにデプロイされます。ここでいうOracle WebLogic Serverドメインについては、後ほどOracle WebLogic Serverで詳しく説明します。

  • システムコンポーネント

システム・コンポーネントは、Oracle Process Manager and Notice (OPMN)によって管理されるプロセスであり、Javaアプリケーションとしてデプロイされません。システム・コンポーネントには、Oracle HTTP Server、Oracle Web Cache、Oracle Internet Directory、Oracle Virtual Directory、Oracle Forms Services、Oracle Reports、Oracle Business Intelligence Discoverer、Oracle Business Intelligenceが含まれます。

Oracle WebLogic Server(WebLogic)

Oracle WebLogic Server (以下、WebLogic と呼びます) は、スケーラブルなエンタープライズクラスの Java プラットフォーム (Java EE) アプリケーション サーバーです。Java EE 5.0 仕様を完全に実装し、さまざまなタイプの分散アプリケーションのデプロイメントをサポートします。

前回の Oracle Fusion Middleware の紹介では、Oracle Fusion Middleware で実行されている WebLogic という言葉を見つけましたが、脆弱性を分析するときに Oracle Fusion Middleware と WebLogic がよく混同されます。実際、WebLogic は Oracle Fusion Middleware の中核です。ほぼすべての Oracle Fusion Middleware 製品は、WebLogic Server を実行する必要があります。したがって、本質的に、WebLogic ServerはOracle Fusion Middlewareではなく、Oracle Fusion Middlewareを構築または実行するための基盤です。Oracle Fusion MiddlewareとWebLogicは分離できませんが、概念上は同等ではありません。

Oracle WebLogic Serverドメイン

Oracle WebLogic Server ドメインは WebLogic の中核です。Oracle WebLogic Serverドメインは、論理的に関連したOracle WebLogic Serverリソース・グループのセットです。ドメインには、管理サーバーと呼ばれるOracle WebLogic Serverの特別なインスタンスが含まれており、これがドメイン内のすべてのリソースを構成および管理するための中心点となります。つまり、Web アプリケーション、EJB (Enterprise JavaBeans)、Web サービス、その他のリソースのデプロイと管理はすべて管理サーバーを通じて完了します。

ここに画像の説明を挿入

Oracle WebLogic Serverクラスタ

WebLogic Server クラスタは、同時に動作する複数の WebLogic Server サーバー インスタンスで構成され、連携してより優れたスケーラビリティと信頼性を提供します。WebLogic 自体が配布を目的としたミドルウェアであるため、クラスタ機能も WebLogic の重要な機能の 1 つです。クラスタ間の通信と同期もあり、WebLogic の多くのセキュリティ脆弱性もこの機能に基づいています。

WebLogicのバージョン

WebLogic には多くのバージョンがありますが、現在では 10.x と 12.x の 2 つのカテゴリのみが見られることが多く、これら 2 つのメジャー バージョンは WebLogic Server 11g および WebLogic Server 12c とも呼ばれます。

Oracle 公式ダウンロード ページ https://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-for-dev-1703574.html によると (下から上へ):

ここに画像の説明を挿入

10.x バージョンは Oracle WebLogic Server 10.3.6 であり、このバージョンは、脆弱性分析を行うときに誰もが好んで使用するバージョンでもあります。P Niu の vulhub(h ttps://github.com/vulhub/vulhub) 内のすべての WebLogic 脆弱性射撃場は、このバージョンに基づいて構築されています。

12.x のメジャー リリースは次のとおりです。

  • Oracle WebLogic Server 12.1.3
  • Oracle WebLogic Server 12.2.1
  • Oracle WebLogic Server 12.2.1.1
  • Oracle WebLogic Server 12.2.1.2
  • Oracle WebLogic Server 12.2.1.3

Oracle WebLogic Server 10.3.6でサポートされるJDKの最小バージョンはJDK1.6、Oracle WebLogic Server 12.1.3でサポートされるJDKの最小バージョンはJDK1.7、Oracle WebLogic Server 12.2でサポートされるJDKの最小バージョンはJDK1.7であることに注意してください。 JDK1.8の場合は.1以降。したがって、JDK のバージョンが異なるため、特に逆シリアル化の脆弱性を悪用する方法は若干異なります。同時に、異なるOracle WebLogic Serverのバージョンは異なるコンポーネント(jarパッケージ)に依存するため、WebLogicのバージョンが異なると、逆シリアル化の脆弱性を悪用する際に異なるガジェット・チェーン(逆シリアル化の脆弱性の悪用チェーン)を使用する必要がある場合があります。

ウェブロジックの利点

WebLogic Server には、ミッションクリティカルな電子商取引 Web アプリケーション システムの開発とデプロイに必要な、次のようなさまざまな機能と利点があります。

標準

EJB、JSP、JMS、JDBC、XML (標準の共通マークアップ言語のサブセット)、WML など、業界のさまざまな標準を包括的にサポートすることで、Web アプリケーション システムの実装が容易になり、投資が保護されます。 。

スケーラビリティ

WebLogic Server は、クライアント接続の共有、リソース プーリング、動的 Web ページと EJB コンポーネントのクラスタリングなど、拡張性の高いアーキテクチャで業界でよく知られています。

急速な発展

EJB と JSP、および WebLogic Server のサーブレット コンポーネント アーキテクチャ システムのサポートにより、市場投入までの時間を短縮できます。これらのオープン スタンダードを WebGain Studio と組み合わせると、開発が簡素化され、既存のスキルを活用してアプリケーション システムを迅速に展開できます。

より柔軟な

WebLogic Server は、主要なデータベース、オペレーティング システム、Web サーバーとの緊密な統合を特徴としています。

信頼性

その耐障害性、システム管理、セキュリティ機能は、世界中の何千ものミッションクリティカルな環境で実証されています。

建築

WebLogic Server は、エンタープライズ電子商取引アプリケーション システム用に特別に開発されました。エンタープライズ電子商取引アプリケーション システムは迅速に開発する必要があり、サーバー側コンポーネントが優れた柔軟性とセキュリティを備えていると同時に、ミッション クリティカルなタスクに必要な拡張、パフォーマンス、高可用性をサポートする必要があります。WebLogic Server は、移植可能でスケーラブルなアプリケーション システムの開発を簡素化し、他のアプリケーション システムやシステムに豊富な相互運用性を提供します。

WebLogic Server は、優れたクラスタ テクノロジにより、最高レベルのスケーラビリティと可用性を備えています。BEA WebLogic Server は、特別なハードウェアやオペレーティング システムのサポートなしで、Web ページ クラスタリングと EJB コンポーネント クラスタリングの両方を実装します。Web ページ クラスタは、Web ショッピング カートなどのプレゼンテーション コンテンツの透過的なレプリケーション、ロード バランシング、およびフォールト トレランスを実装できます。コンポーネント クラスタは、EJB コンポーネントの複雑なレプリケーション、ロード バランシング、フォールト トレランス、および状態オブジェクト (たとえば、 EJB エンティティ)。

Web ページのクラスタリングとコンポーネントのクラスタリングはどちらも、e-ビジネス ソリューションに必要なスケーラビリティと可用性にとって重要です。共有クライアント/サーバーとデータベース接続、およびデータ キャッシュと EJB によりパフォーマンスが向上します。他の Web アプリケーション システムでは利用できません。

補充する

Weblogic と同じタイプの製品には、IBM WebSphere、Apache Tomcat、Redhat Jboss などが含まれます。Weblogic のデフォルトのポートは 7001 です。

過去の脆弱性の概要

次に、Weblogic の過去の脆弱性のリンクを通じて、 Weblogic によって公開された過去の脆弱性を確認できます。そのほとんどは逆シリアル化の脆弱性です。

ここに画像の説明を挿入

参考記事:WebLogicセキュリティ調査レポート

おすすめ

転載: blog.csdn.net/qq_64973687/article/details/132508431
おすすめ
ランキング
uni.request在接口状态码403等还是走success
Springboot は mybatisplus を統合しており、ページング クエリによって返される Page オブジェクトの合計は常に 0 です。
System.InvalidOperationExceptionが:「BuildWindowCoreは、子ウィンドウのハンドル搭乗を返しません。」
[Example 08] IPD system advancement: version naming rules for version management
カスタム NavigationBar -- UIView による描画
データとデータの移行を復元します(個人的なメモ、無用リーダー)
4. 2次元配列で検索する
vim的私人订制
Flutterのカスタムルーティング切り替えアニメーション
Javaコンテナの方法の簡単なアプリケーションのArrayList
アーカイブ
もっと
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)

コードワールド

© 2018 codetd.com