weblogic控制台的启动与禁用

在一些安全漏洞扫描中，经常会扫描发现，使用weblogic管理控制台，会有个中危的漏洞。

http://192.168.10.46:7001/console/login/LoginForm.jsp

Weblogic管理页面直接访问

我们来看下为啥会出现这样的漏洞。审查下页面元素，发现表单输入项自动开启填充记住功能。

如下图所示

这样的后果是：攻击者可能试图尝试每个可能的字母，数字和符号组合，或使用一些暴力破解工具进行猜测，直到它发现了一个正确的组合，从而进入登录页面做进一步深度非法攻击。

这个是在12c以前的版本会出现这样的问题。在12c以后的，这个问题已经被解决了。

 可以看到

 <input class="textinput" type="text" autocomplete="off" name="j_username" id="j_username">
 <input class="textinput" type="password" autocomplete="off" name="j_password" id="j_password">

那么如果修改之前的漏洞呢？那就是把控制台功能关闭，就好了。

1.首先进入首页，点击域

 2.点击高级。去掉启用控制台选项

保存，重启服务器后发现已经变成404了

3.weblogic禁用后的启动

打开weblogic目录C:\Oracle\Middleware\user_projects\domains\base_domain\config\config.xml

将<console-enabled>false</console-enabled>删除，重启服务

控制台又可以使用了