weblogic

Weblogic 数据源 JDBC 架构 JDBC Driver 四种类型 连接方式 直接连接 (direct connection) 池连接 (pooled connection) 连接复用，避免了数据库连接频繁创建、关闭的开销 对 JDBC 中的原始连接进行了封装，隔离了应用的本身的处理逻辑和具体数据库访问逻辑 连接池概念 概念 连接池是在 Weblogic 启动时候建立的数据库连接，由系统负责维护 可以减少程序每次数据库请求要创建数据库物理连接的所需时间及资源 对数据库属性的更改只需通过控制台进行，不需改动客户端代码 常见数据库驱动 配置连接池需要知道特定数据库 URL 、数据库属性及相应驱动类；数据库 URL 格式： jdbc:subprotocol:subname 常见数据库驱动 URL 如下： 在控制台配置连接池 概念模型 案例中 JDBC Data Source 名称为 baseDS ，数据库采用 MySQL 配置步骤 通过命令行启动startWebLogic和startManagedWebLogic服务 打开“数据源”后选择“新建一般数据源” 填写相应名称、 JNDI 名称并选择数据库类型为 MySQL 选择相应的数据库驱动程序 按照红色方框内勾选 填写数据库名称、主机名、数据库用户名以及口令 通过“测试配置”测试是否可以连接成功 将连接池放置到 dizzy2

Weblogic 域（Domain） Domain的概念 Domain是weblogic server管理的一个基本单元，包括一个管理 server和一个管理的入口。 在创建server和使用server的时候需要先创建domain。 每个domain都包括一个config.xml文件，在domain的根目录下。 Domain的组成 Domain 由 server 组成 Server分Administration server和Managed Servers Administration server负责domain的管理，一般不负责应用 Managed Servers部署实际的应用 Cluster（集群） 如下图所示： Domain 的一般配置 Managed Servers构成的domain Managed Servers 和 Clusters构成的domain Stand-alone Server构成的Domain Domain的创建 创建过程 不基于模板创建域过程详见【 Weblogic学习笔记-weblogic12c安装 】 基于模板创建域过程详见【 Weblogic学习笔记-Weblogic 域（Domain）（二） 】 来源： oschina 链接： https://my.oschina.net/u/4277087/blog/4486294

写在前面： 在 myeclipse 中安装WebLogic12c的步骤，集成WebLogic其它版本步骤类似。 打开【Windows】-->【Perferences】-->输入weblogic后依次按照步骤逐步选择 说明：到第4步时选择已经安装好的weblogic的安装目录后会自动生成下面的选项，需要将第5步的密码修改为安装时设置的密码 修改weblogic 12.x的JDK，此时会自动检测系统已安装的JDK环境，可选的Java虚拟机参数保持默认 在Servers端可以查看WebLogic12.x 使用【Debug Server】启动WebLogic12.x服务 在【Console】端显示WebLogic12.x启动日志，红色方框内可以查看到该服务器已经启动 使用【Stop Server】关闭Weblogic12.x服务 在【Console】端显示WebLogic12.x关闭日志，红色方框内可以查看到该服务器已经关闭 来源： oschina 链接： https://my.oschina.net/u/4400708/blog/4486295

先感谢一下scz大佬给的博客推荐，受宠若惊+10086。 心血来潮有这么个想法，验证一下。 只讨论思路，工具木有~ 前言 看了很多师傅们在研究针对Java中间件+Java反序列化漏洞回显的研究： https://xz.aliyun.com/t/7740 https://xz.aliyun.com/t/7348 https://paper.seebug.org/1233/ （。。。应该还有挺多，就不翻了） 又看到了c0ny1师傅的作品： 《java内存对象搜索辅助工具》 配合IDEA在Java应用运行时，对内存中的对象进行搜索。比如可以可以用挖掘request对象用于回显等场景。 … 按照经验来讲Web中间件是多线程的应用，一般requst对象都会存储在线程对象中，可以通过 Thread.currentThread() 或 Thread.getThreads() 获取。 并且目前回显思路主要是基于加载类，执行static块或者构造方法（原生反序列化、FastJson、Jackson一类的都有）： TemplatesImpl类的反序列化链，内嵌类的bytecode，defineClass。 其他反序列化链使用URLClassLoader进行远程加载类。 JNDI远程加载类。 所以想到： 我们能否写单个类，让它能够触发时，使用2的思路去寻找request和response

Tomcat是一款我们平时开发过程中最常用到的Servlet容器。本系列博客会记录Tomcat(以Tomcat 7为列)的整体架构、核心组件、IO线程模型、请求在Tomcat内部的流转过程以及一些Tomcat调优的相关知识点。力求能达到以下几个目的： 更加熟悉Tomcat的工作机制，工作中遇到Tomcat相关问题能够快速定位，从源头来解决； 对于一些高并发场景能够对Tomcat进行调优； 通过对Tomcat源码的分析，吸收一些Tomcat的设计的理念，应用到自己的软件开发过程中。 1. 什么是Tomcat Tomcat 是一款Apache下面的开源的Servlet容器，实现了对Servlet和JSP规范的支持 。另外 Tomcat 本身内含了一个 HTTP 服务器，所以也可以被当作一个 Web 服务器来使用。但是Tomcat作为一个Web服务器，它对静态资源的处理能力要比Apache或者Nginx这类的Web服务器差很多，所以我们经常将Apache和Tomcat（或者是Nginx和Tomcat）组合使用，Apache来充当Web服务器处理静态资源的请求，Tomcat充当Servlet容器来处理动态请求。 Web服务器和应用服务器 Web服务器，是指一台在互联网上具有独立IP地址的高性能计算机，可以向互联网上的用户提供“WWW（万维网）、Email（电子邮件）和FTP（文件传输）

1、性能测试包含了哪些软件测试（至少举出3种）？ 参考答案：负载测试;压力测试;容量测试; 负载测试（Load Testing） ：负载测试是一种主要为了测试软件系统是否达到需求文档设计的目标，譬如软件在一定时期内，最大支持多少并发用户数，软件请求出错率等，测试的主要是软件系统的性能。 压力测试（Stress Testing） ：强度测试也就是压力测试，压力测试主要是为了测试硬件系统是否达到需求文档设计的性能目标，譬如在一定时期内，系统的cpu利用率，内存使用率，磁盘I/O吞吐率，网络吞吐量等，压力测试和负载测试最大的差别在于测试目的不同。 容量测试（Volume Testing） ：确定系统最大承受量，譬如系统最大用户数，最大存储量，最多处理的数据流量等。 或者在下面选择几项：并发测试；基准测试 ；争用测试；性能配置 ；负载测试；强度测试；容量测试 2、请问什么是性能测试、负载测试、压力测试？ 性能测试是通过自动化的测试工具模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。负载测试、压力测试参考答案如上题。 3、在给定的测试环境下进行，考虑被测系统的业务压力量和典型场景？ 负载测试是用来测定系统饱和状态、确定阀值。其特点有：这种方法的目的是找到系统处理能力的极限；通过“检测、加压、阀值”手段找到如“响应时间不超过10秒”，“平均CPU利用率低于65%”等指标。

作者：宽字节安全 原文链接： https://mp.weixin.qq.com/s/euYuuI78oJhUHt9dVkomKA 本文为作者投稿，Seebug Paper 期待你的分享，凡经采用即有礼品相送！ 投稿邮箱：paper@seebug.org 上篇文章中着重研究了tomcat的内存马以及实现方法。这篇文章主要研究了weblogic的内存马实现原理。在这里实现的原理与tomcat基本相同，同样使用动态注册Filter 的方式。下面分析一下weblogic在请求中是如何获取FilterChain。 以下分析基于 weblogic 12.2.1.4 0x01 weblogic FilterChain实现 创建一个Filter，随便打一个断点，观察此时的堆栈信息，如图 通过跟踪堆栈信息，我们可以找到，在wrapRun函数中，会判断系统中是否存在filter以及listener。如果存在，则获取FilterChain，然后依次调用Filter。原理与tomcat类似。相关代码如下 weblogic.servlet.internal.WebAppServletContext.ServletInvocationAction#wrapRun 函数 if (!invocationContext.hasFilters() && !invocationContext

第二部分 用户需求书 一、 概述 1.1 项目背景 为确保广东省地方税务局信息系统的正常运行，现对信息系统所用的 Oracle 数据库及 GoldenGate 复制软件原厂商维护保修服务进行招标采购。 1.2 采购方式： 公开招标 1.3 项目预算：捌佰零贰万元（￥8,020,000.00）。 1.4 项目实施地点：项目实施地点：广东佛山市南海区南国桃园南海税务信息处理中心 和广州市天河北路 600 号。 1.5 项目时间： 24 个月。 二、 项目内容 2.1 Oracle 原厂商标准产品服务（Oracle 原厂商标准产品服务所涉及的软件产品见表 一，标准产品服务详见《附件 1： Oracle 原厂标准服务内容》） 表一： 序号 产品名称 CSI NO. CPU 许可数 备注 1 Oracle Database Enterprise Edition – Processor Perpetual 3779045 52 个以上 所有软件均可在广东地税系统内不限操作系统平台、不限 CPU 数、不限用户数、不限地域地使用 2 Real Application Clusters – Processor Perpetual 3779045 52 个以上 3 Partitioning – Processor Perpetual 3779045 52 个以上 4 Diagnostics Pack

作者：kingkk 原文链接： https://www.kingkk.com/2020/08/CVE-2020-14644 本文为作者投稿，Seebug Paper 期待你的分享，凡经采用即有礼品相送！ 投稿邮箱：paper@seebug.org 前言 前段时间Weblogic出了七月份的补丁，其中比较受关注的有4个9.8评分的RCE，目前14625和14645在网上也都有了详情，话说有个老哥一己之力包了其中三个属实nb。 之前也有几个朋友问起14644的详情，正好一起分享下14644的利用，和之前疫情半年在家挖gadget的一些思考。 CVE-2020-14644 和2883、14645不同的是，这应该算是一条全新的gadget，并不是在原先2555的基础上进行绕过。 这个漏洞的主角是 com.tangosol.internal.util.invoke.RemoteConstructor 在它的 readResolve 方法中会一直调用到 RemotableSupport.realize() 方法 RemoteConstructor.readResolve -> RemoteConstructor.newInstance -> RemotableSupport.realize realize`方法中有两个比较有意思的点`defineClass`和`createInstance