转载

J2EEScan:J2EE安全扫描(Burp插件)

什么是J2EEScan

J2EEScan是一个基于Web安全扫描套件Burp Suite Proxy的插件, 增加了针对J2EE应用的安全扫描测试项目。

它是如何工作的?

该插件已完全集成到Burp Suite 扫描; 它增加了一些新的测试用例和新策略去发现不同的J2EE安全漏洞。

J2EEScan:J2EE安全扫描(Burp插件)

Jetty版本检测和远程泄漏共享缓冲区漏洞(CVE-2015至2080年)

J2EEScan:J2EE安全扫描(Burp插件)

Apache Wicket的任意资源访问(CVE-2015-2080)

J2EEScan:J2EE安全扫描(Burp插件)

测试案例:

杂项

表达式语言注入 (CVE-2011-2730) Apache Roller OGNL 注入 (CVE-2013-4212) 本地文件包含 - /WEB-INF/web.xml Retrieved 本地文件包含 - Spring 应用上下文检索 本地文件包含 - struts.xml 检索 本地文件包含 - weblogic.xml 检索 本地文件包含 - ibm-ws-bnd.xml 检索 本地文件包含 - ibm-web-ext.xmi检索 本地文件包含 - ibm-web-ext.xml 检索 本地文件包含 - /etc/shadow 检索 本地文件包含 - /etc/passwd 检索 HTTP 验证弱口令 WEB-INF 应用程序配置文件检索 Status Servlet (CVE-2008-3273) Snoop Servlet (CVE-2012-2170) 扩展路径遍历扫描 AJP 服务检测 - 感谢@ikki

Apache Struts

Apache Struts 2 S2-023 - 感谢 @h3xstream Apache Struts 2 S2-016 Apache Struts 2 S2-017 Apache Struts 2 S2-020 Apache Struts 2 S2-021 Apache Struts DevMode 启用 Apache Struts OGNL控制台

Grails

Grails 路径遍历 (CVE-2014-0053)

Apache Wicket

Apache Wicket 任意资源访问 (CVE-2015-2080)

Java Server Faces

Java 服务器面临本地文件包含 (CVE-2013-3827 CVE-2011-4367)

JBoss SEAM

JBoss SEAM 远程命令执行 (CVE-2010-1871)
不正确的错误处理 JSF Apache Struts Apache Tapestry Grails GWT Java XML 安全 XInclude 支持 XML 外部实体 信息披露问题 远程 JVM 版本 Apache Tomcat 版本 Jetty 版本 Oracle 应用服务器版本 Oracle Glassfish 版本 Oracle Weblogic 版本 合规性检查 web.xml - HTTP动词篡改 web.xml - 会话跟踪URL参数 web.xml - 不完整的错误处理 web.xml - 调用servlet

JBoss

JBoss Web 服务枚举 JBoss 管理控制台弱口令 JBoss JMX/Web 控制台没有密码保护 JBoss JMX 调用远程命令执行

Tomcat

Tomcat 管理器控制台弱口令 Tomcat 主机管理控制台弱口令 End Of Life Software - Tomcat

Weblogic

Weblogic UDDI浏览器检测 Weblogic UDDI浏览器SSRF漏洞 (CVE-2014-4210) Weblogic 管理控制台弱口令

Oracle 应用服务器

添加日志检查Oracle数据库访问 增加了检查多个Oracle应用服务器的默认资源(CVE-2002-0565, CVE-2002-0568, CVE-2002-0569) End Of Life Software - Oracle Application Server

Jetty

Jetty 远程泄漏共享缓冲区 (CVE-2015-2080) found by @gdssecurity End Of Life Software - Jetty

Apache Axis

Apache Axis2 - Web服务枚举 Apache Axis2 - 管理控制台弱口令 Apache Axis2 - 本地文件包含漏洞(OSVDB 59001)

如何安装 ?

从 "Cookie jar" 选择"Options" -> "Sessions"启用扫描仪领域

加载 J2EEscan.jar 在 Burp Extender 标签,或者从BApp Store下载

该插件至少需要的Java 1.7版本支持

*参考来源: GitHub ,整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

J2EEScan:J2EE安全扫描(Burp插件)

帅气凌云 10 篇文章 等级: 4

网站作好了,装一套防毒软体,网站架一组防火牆。很多公司以为如此以来,网站就能高枕无忧。如此轻忽的态度 显示对于网站安全的警觉性十分缺乏,因此导致网站资安漏洞百出。弱点扫描{Www.VulScan.Cn},为网站健康检查,找出漏洞!

个人主页 发私信
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS springboot-demo Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成oauth2快速入门demo
  2. 2 Spring Boot集成Spring AI实现快速接入openAI
  3. 3 Spring Boot集成Spring Session快速入门Demo
  4. 4 Spring Boot集成RabbitMQ快速入门Demo
  5. 5 Spring Boot集成Quartz快速入门Demo
  6. 6 Spring Boot集成Mybatis Plus快速入门Demo
  7. 7 Spring Boot集成zipkin快速入门Demo
  8. 8 能用365块大洋去解决的事,千万不要用时间
  9. 9 Spring Boot集成atomikos快速入门Demo
  10. 10 Spring Boot集成fastdfs快速入门Demo
网站信息
  • 文章总数:155,468 篇
  • 文件总数:468,747 个
  • 标签总数:2,269 个
  • 分类总数:90 个
  • 留言数量:2,542 条
  • 在线人数:692 人
  • 运行天数:4,199天
  • 最后更新:2024年04月26日10点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG