标签： JBoss

Java反序列化漏洞从爆出到现在快2个月了，已有白帽子实现了jenkins，weblogic，jboss等的代码执行利用工具。本文对于Java反序列化的漏洞简述后，并对于Java反序列化的Poc进行详细解读。 Java反序列化漏洞简介 Java序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中，Java中的ObjectOutputStream类的writeObject()方法可以实现序列...

咱们前面分享了TOMCAT入侵的一点小小经验。下面咱们分享一下最常见和简单的Jboss入侵。许多管理员部署完Jboss后不进行安全加固，对外开放了管理界面，且为默认口令。

安全研究员在多家厂商（包括惠普，McAfee，赛门铁克和IBM）使用4.X和5.X JBoss的产品中发现了一个漏洞并将之发布。黑客可以利用该漏洞（CVE-2013-4810）在曝露了EJBInvokerServlet或JMXInvokerServlet上JBoss部署上安装一个任意应用。