我们有一个当前在WebLogic10.3.5.0上运行的应用程序，我们正在迁移到WL12.1.2.0.0。我们遇到了对另一个应用程序的Un-marshallingWS调用的问题。我们熟悉升级时的Marshalling错误，但似乎这个问题并不相同。需要注意的是，它在相同WL版本的DEV/Test服务器上运行良好，但在本地部署时会返回以下错误(一定是env/configuration设置不匹配？):JAXBunmarshallingexception:null;nestedexceptionisjavax.xml.bind.UnmarshalException-withlinkedexce

我们目前在WebLogic12.1.2上运行。在这种环境下，我们的应用程序运行良好。我们现在想要的是将我们的应用程序认证到WebLogic12.1.3环境。但是我们使用的Web服务面临一个问题。在新版本中，服务器抛出异常，提示“未找到默认配置文件[metro-default.xml]”。我试图在这个文件中找到一些东西，但什么也没有。PS:我们不使用Metro，我们使用WebLogic默认的JAX-WS堆栈。并将应用程序部署为WAR文件。这里是异常的堆栈java.lang.IllegalStateException:MASM0001:Defaultconfigurationfile[me

1.报错内容triedtoaccessmethodorg.bouncycastle.math.ec.ECPoint$Fp.(Lorg/bouncycastle/math/ec/ECCurve;Lorg/bouncycastle/math/ec/ECFieldElement;Lorg/bouncycastle/math/ec/ECFieldElement;)VfromclassSM2Utils.SM2at......2.分析         我的SpringBoot项目中，依赖bcprov-jdk15on-1.59版本jar包，本地编译运行都是没问题的，发布到weblogic服务器后，调用加解密

什么是SSRF漏洞？SSRF（Server-SideRequestForgery，服务端请求伪造）是指攻击者向服务端发送包含恶意URL链接的请求，借由服务端去访问此URL，以获取受保护网络内的资源的一种安全漏洞。SSRF常被用于探测攻击者无法访问到的网络区域，比如服务器所在的内网，或是受防火墙访问限制的主机。SSRF漏洞的产生，主要是因为在服务端的Web应用，需要从其他服务器拉取数据资源，比如图片、视频、文件的上传/下载、业务数据处理结果，但其请求地址可被外部用户控制。请求地址被恶意利用的话，如下图所示，就能够以服务端的身份向任意地址发起请求，如果是一台存在远程代码执行漏洞的内网机器，借助SS

使用idea对jar包远程调试：打开一个springboot的项目进行远程调试设置：运行：其实我不太明白远程调试的意义，本地直接debug不好嘛。。。点击debug的按钮，打断点测试：跑到断点处：远程debug即对远程部署的内容进行debug，例如我们部署的项目在线上出现问题了，而我们又不知道具体是哪里出现问题，我们就可以使用远程debug进行排查问题。这里在idea中使用的是localhost，如果我使用的是其他的ip地址，再用其他ip地址下的jar包启动，那么当我访问远程ip下的程序时，此时本地用jar包进行的断点就会生效。就实现了远程debug。总结好像感觉远程调试的用处也不是那么大，不

1、漏洞简介MinIO是一款基于Go语言发开的高性能、分布式的对象存储系统。客户端支持Java,Net,Python,Javacript,Golang语言。由于MinIO组件中LoginSTS接口设计不当，导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令。2、影响版本MinIO3、漏洞分析MinIO组件中LoginSTS接口其实是AWSSTS登录接口的一个代理，用于将发送到JsonRPC的请求转变成STS的方式转发给本地的9000端口。由于逻辑设计不当，MinIO会将用户发送的HT

文章仅供学习交流，一些漏洞没能复现出来（菜就多练），日后来兴趣再补坑（大概~）视频链接： 【小迪安全】红蓝对抗|网络攻防|V2022全栈培训_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1pQ4y1s7kH目录一、知识点1、中间件-Weblogic-CVE2、中间件-JBoos-CVE3、中间件-Jenkins-CVE4、中间件-GlassFish-CVE二、章节内容1、常见中间件的安全测试2、中间件安全测试流程3、应用服务安全测试流程三、案例演示1、中间件-Weblogic-CVE&反序列化&远程执行（1） CVE-2017-3506 远程代码

内容目录Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)weblogic中间件CVE-2018-2628漏洞描述影响版本漏洞复现修复方案CVE-2023-21839漏洞描述影响版本漏洞复现修复方案Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)weblogic中间件WebLogic是美国Oracle公司出品的一个applicationserver，用于本地和云端开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogicServer是一个基于JAVAEE架构的中间件，将Ja

文章目录前言元数据服务威胁1.1Metadata元数据1.2RAM资源管理角色1.3STS临时凭据利用1.4CF云环境利用框架1.5元数据安全性增强TerraformGoat2.1永久性AccessKey2.2SSRF靶场环境搭建2.3腾讯云CVM配角色2.4接管腾讯云控制台SSRF组合拳案例3.1上传图片功能SSRF3.2文件导出功能SSRF总结前言云服务器的实例元数据是指在实例内部通过访问元数据服务（MetadataService）获取的实例属性等信息，如实例ID、VPC信息、网卡信息。元数据包含实例角色所对应的临时凭据的情况下，如果服务器所搭载的对外业务服务存在SSRF漏洞，将造成云服务

目录概念DNS重绑定情景举例认识DNS绑定机制DNS重要记录类型域名解析过程TTL请求域名解析