Jboss、Websphere和weblogic的反序列化漏洞已经出来一段时间了,还是有很多服务器没有解决这个漏洞;
反序列化漏洞原理参考:JAVA反序列化漏洞完整过程分析与调试
这里参考了网上的 Java反序列化工具 - Java Deserialization Exp Tools ,来检测weblogic服务器反序列化漏洞;
该工具可以检测weblogic、jboss、websphere服务器,下载地址:http://pan.baidu.com/s/1miKplsW
如图上所示,输入weblogic的http地址,执行服务器命令,成功在服务器上执行了系统命令,说明漏洞存在;