JavaWeb安全面试:Shiro、Fastjson与Weblogic漏洞探讨

需积分: 5 3 下载量 143 浏览量 更新于2024-08-03 收藏 184KB PDF 举报
"某亭红队面试.pdf" 面试中涉及的知识点主要集中在网络安全和Java Web应用安全上,特别是针对一些常见的漏洞利用和防护方法。以下是详细解释: 1. 打点通常利用的漏洞类型: 打点(Pentesting)是指渗透测试中寻找并利用系统漏洞的过程。这里提到的打点常利用Java反序列化漏洞,如Apache Shiro、Fastjson、Weblogic以及用友OA等。Java反序列化漏洞是因为程序在反序列化过程中未能正确验证数据,导致恶意代码被执行。 2. Shiro漏洞发现方法: Apache Shiro是一个流行的Java安全框架,其漏洞通常在登录失败或尝试记住用户(RememberMe功能)时暴露。可以通过以下方式发现Shiro漏洞: - 如果未登录且请求包中无rememberMe字段,返回包的set-Cookie中也无deleteMe字段。 - 登录失败时,无论RememberMe是否选中,返回包都会有rememberMe=deleteMe字段。 - 不勾选RememberMe并登录成功,返回包会有deleteMe字段,但后续请求中不会有rememberMe字段。 - 勾选RememberMe并登录成功,返回包有deleteMe和rememberMe字段,后续所有请求中都有rememberMe字段。 3. Shiro漏洞类型: 面试中提到了shiro550和shiro721两种类型的漏洞,具体细节可能涉及到Shiro框架的特定安全问题,需要查阅相关漏洞报告来获取详细信息。 4. Weblogic权限绕过: Weblogic是Oracle提供的一个企业级应用服务器,存在多种漏洞,包括权限绕过。面试中提及的一种方法是利用相对路径(./)进行绕过,具体实现可能需要阅读给出的链接或进行深入研究。 5. Fastjson漏洞利用原理: Fastjson是阿里巴巴的一个高性能的JSON库,其漏洞往往出现在处理JSON对象时,未能有效过滤`@type`字段。攻击者可利用此漏洞注入恶意的类,例如`TemplatesImpl`,并通过该类的`_bytecodes`字段生成Java实例,执行构造函数,从而达到代码执行的目的。 6. Weblogic漏洞种类: Weblogic的漏洞类型多样,包括基于T3协议的反序列化漏洞、XML解析时的反序列化问题,以及SSRF(Server-Side Request Forgery)和权限绕过等。 7. IIOP与Java RMI: IIOP(Internet Inter-ORB Protocol)是CORBA(Common Object Request Broker Architecture)中用于不同对象之间通信的协议。它类似于Java RMI(Remote Method Invocation),两者都是分布式计算中的远程调用机制,允许在不同的网络节点间调用对象的方法。 这些知识点涵盖了网络安全领域的多个方面,包括漏洞利用、安全框架的弱点以及企业级服务器的安全问题。理解和掌握这些内容对于红队成员或网络安全专业人员来说至关重要。