项目

一般

简介

活动

从 2022-07-19 到 2022-08-17

2022-08-15

07:00 AAS-V9企业版安全测评专区: 应用服务器V9.0存在权限绕过问题的说明及处理

​​​​问题描述:

攻击者利用/..;特殊字符,构造http://127.0.0.1:6888/admin/res/..;/protect/application/deployApp请求,绕过应用服务器管理控制台的权限验证,部署...

 qiu jk
06:52 AAS-V10企业版: 管控台忘记密码_新处理方案

1.还记得secure用户或admin密码,此方法不需要重启中间件

1.1 用secure用户登录,对其他用户密码进行修改

1.2 用admin用户登录

系统管理员 admin 登陆管理,切换到配置->server-...

 chen zh
06:35 AAS-V10企业版: 无法登录管控台,提示java.util.concurrent.RejectedExecutionException:The thread pool's task queue is full,limit:10

日志信息如下:

doSelect exception
java.util.concurrent.RejectedExecutionException: The thread pool's task queue is fu...

 chen zh

2022-08-10

08:47 AAS相关文档: 售前适配方案

文档如下

lv pengqin
06:38 AAS性能案例: 关于spring MVC重复调用的性能问题

中间件:V10

OA厂商:蓝凌

项目:深圳市发改委

问题描述: 

在200左右并发下会导致接口缓慢,无法访问接口,经过链路追踪可以看出,如下图:

看红框(第一个括号后面的数字是调用数字):可以明显地看出是...

 qiu jk

2022-08-08

01:40 AAS-V9企业版: 关于重复调用的问题 报错:DeployException

报错如下:

原因:因为其本身调用一次后中间件有调用一次

注释以下注解即可:

 qiu jk

2022-08-03

09:43 AAS-V9企业版安全测评专区: 漏洞:Apache Solr 的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在漏洞(V9)

漏洞描述:

目标存在漏洞,使用组件信息如下:Q w U G! Isr .javax.management.remote.rmi.RMIServerImpl_Stub pxr java.rmi.server.RemoteStub ...

 qiu jk
09:36 AAS-V10企业版安全测评专区: 漏洞:Apache Solr 的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在漏洞(V10)

漏洞描述:

目标存在漏洞,使用组件信息如下:Q w U G! Isr .javax.management.remote.rmi.RMIServerImpl_Stub pxr java.rmi.server.RemoteStub ...

 qiu jk
01:31 AAS-V10企业版补丁插件专区: V10企业单独关闭界面控制台日志内容输出(server.log日志还会生成)补丁

异常信息:V10企业单独关闭界面控制台日志内容输出(server.log日志还会生成)补丁

版本号:202106101338

解决时间:2022-8-3

解决方案:

1、使用ApusicConsoleHandl...

 huang junrui

2022-08-02

06:45 AAS-V10企业版: 滚动日志导致日志文件很小,日志内容分隔,不能对日志文件进行汇总

 

aasV10默认是填写了“-XX:+UseGCLogFileRotation”这个,jvm参数,即启动自动滚动日志功能

也可以手动生成滚动日志,滚动日志生成为一个“server.log_日期T时间点”,会将主日...

 chen zh
01:59 AAS-V9企业版补丁插件专区: V9应用服务器权限绕过问题补丁

V9应用服务器出现/admin/1/../protect/绕过权限验证问题,影响部署了webtool.war并且2021-04-12之后的

漏洞说明:

应用服务器管理控制台出现访问/admin/1/../protect/绕...

 huang junrui

2022-08-01

06:52 AAS-V9企业版安全测评专区: V9扫描出Jackson框架远程代码执行漏洞(CVE-2017-17485)

漏洞描述:

Jackson是一个开源的java序列化与反序列化工具,可以将java对象序列化为xml和json格式的字符串或将两种文件反序列化为相应的对象。 

因为CVE-2017-7525解序列化缺陷的修复程序不完整,可...

 lv pengqin
06:43 AAS-V10企业版: 报错:Caused by: javax.net.ssl.SSLException: SSLEngine is CLOSED

以下为报错全部内容:

[2022-08-01T13:43:45] [] [WARNING] [] [javax.enterprise.web] [tid: _ThreadID=50 _ThreadName=ApusicLogMa...

 qiu jk
06:41 AAS-V10敏捷版: V10敏捷版设置XMX等JVM参数

进入根目录/bin目录下的apusic.sh

搜索 

JAVA_OPTS="$JAVA_OPTS $MEMORY_JVMOPTS"

在下面添加参数

JAVA_OPTS=-Xmx2048m

 

如下图...

 qiu jk
06:05 AAS-V10敏捷版: 异常信息:通过IDE工具远程调试v10敏捷内嵌版应用jar包

异常信息:通过IDE工具远程调试v10敏捷内嵌版应用jar包

解决方案:

1、通过命令 java -jar -Xdebug -Xrunjdwp:transport=dt_socket,address=端口号,server=...

 huang junrui
06:04 AAS-V9敏捷版: IDE远程调试v9敏捷内嵌版应用jar包

异常信息:通过IDE工具远程调试v9敏捷内嵌版应用jar包

解决方案:

1、通过命令 java -jar -Xdebug -Xrunjdwp:transport=dt_socket,address=端口号,server=y...

 huang junrui
05:45 AAS-V9企业版: V9命令行部署

进入V9根目录下的bin目录:

输出应用列表: 

appctl list

 

部署应用:

appctl install your_application_name   /your_app.war   -c...

 qiu jk
02:04 AAS通用问题: 应用报错:Cause by: javax.transaction.NotSupportException

应用使用Springboot 

报错:NestedTransactionNotSupportedException:JTA implemenntation does not support nested transactions...

 qiu jk

2022-07-29

08:38 AAS-V10企业版: 修改独立实例端口命令

set instance-config.network-config.network-listeners.network-listener.http-listener-2.port=4321

qiu jk
08:10 AAS-V9企业版安全测评专区: V9扫描出H2 控制台 JNDI 远程代码执行漏洞(CVE-2021-42392)

漏洞描述:

H2 是一个用 Java 编写的关系数据库管理系统。H2 存在远程代码执行漏洞,该漏洞是由于 H2 控制台可以通过 JNDI 从远程服务器加载自定义类,攻击者可利用该漏洞在未授权的情况下,构造恶意请求,触发远程代码执...

 lv pengqin
07:45 AAS相关文档: 自启动步骤

如附件所示

lv pengqin
07:43 AAS-V9企业版: V9启动报org.springframework.context.ApplicationContextException: Unable to start web server; nested exception is java.lang.RuntimeException: java.lang.Exception: failed to start apusic server services

问题描述:报错如下

org.springframework.context.ApplicationContextException: Unable to start web server; nested exception is...

 lv pengqin
03:26 AAS-V10企业版安全测评专区: V10 SSL弱密码套件问题修复

 

解决

 qiu jk
03:24 AAS-V10企业版: V10使用界面创建独立实例

管控台创建独立实例:

 qiu jk
03:00 AAS-V9企业版安全测评专区: Weblogic IIOP反序列化漏洞(CVE-2020-2551)

漏洞描述:

 

解决:

mydomain/config/apusic.conf文件中,在mux服务中增加如下的配置,EnableMuxAllow表示开启这个功能,不开启则对ip地址没有限制;开启功能后,则通过...

 qiu jk
02:53 AAS性能案例: V10部署ear包是 部署时间过长(一个小时左右)

可能报错:javax.faces.application.ViewExpiredException

问题根因:jsf框架和MyFaces冲突导致

解决:

在apusic-web.xml添加以下参数即可

<?xm...

 qiu jk

2022-07-28

11:25 AAS-V10企业版: 访问html静态资源时,修改了静态资源内容,访问时无法对内容进行更新

版本:20220527,(在后续版本可能会修复)

问题:在访问html静态资源后,修改含有标签的内容不能及时进行更新,重启中间件也不会更新

处理方法:

在domains/mydomain/config下def...

 chen zh
07:07 AAS-V10企业版: MultiException stack ... resolve on com.apusic.enterprise.v10.admin.cluster.ControlElasticScalingCommand

报错如下:

java.lang.RuntimeException: Authorization Service initialization failed, exception java.lang.IndexOutOfBound...

 qiu jk

2022-07-27

02:26 AAS-V10企业版: 用“浏览文件夹”方式部署 内容空白,日志显示Caused by: java.lang.reflect.InvocationTargetException;Caused by: java.lang.NullPointerException

[WARNING] [] [javax.enterprise.resource.webcontainer.jsf.lifecycle] [tid: _ThreadID=395 _ThreadName=ApusicLogMana...

 chen zh

2022-07-26

11:17 AAS-V10企业版: RE: 如何通过我们应用服务器访问系统的静态资源?

有两种资源访问部署方式,进行静态资源的访问

1.通过部署war包访问

1.1 找到一个war包结构,在里面添加apusic-web.xml文件,文件在附件中,如下图所示,文件内各参数内容可参考上文

1...

 chen zh
06:21 AAS-V10企业版: RE: v10登录管控台后,跳转到500服务异常,日志提示javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake“”

同样出现500异常,并且提示"javax.net.ssl.SSLHandshakeException:Remote host terminated the handshake";还有一个ApusicLogManager提示的Licen...

 chen zh
06:10 AAS-V9企业版安全测评专区: 检测到隐藏目录,可能会检索有关站点文件系统结构的信息,这可能会帮助攻击者映射此web站点

根据扫描报告内容,可以得知目的是禁止访问到相应目录映射,这里的8080是我们原6888管控台端口,/admin为登录界面映射,即屏蔽掉管控台

在中间件部署目录下/domains/mydomain/config的vm.op...

 chen zh
06:10 AAS-V9企业版安全测评专区: 会话cookie中缺少HttpOnly属性

在domains/mydomain/vm.options中添加com.apusic.cookie.httpOnly=true参数项后,重启中间件

chen zh
05:55 AAS-V10企业版: 管控访问显示403

问题描述:

访问管控台时提示403,并且在本地用curl -k https://localhost:6848也没有显示内容

处理方案:

可以在domains/mydomain/domain.xml查看一下是否...

 chen zh

2022-07-22

08:38 AAS-V9企业版安全测评专区: 跨站点请求伪造

问题解决:web.xml文件加<tracking-mode>COOKIE</tracking-mode>

 hu fanfan
08:23 AAS-V9企业版: 客户认证失败(用户密码错误)

客户修改了服务器IP后启动V9失败,通过查看启动报错日志发现如下报错

问题解决:

删除 domains/mydomain/store/user.db 文件,再重启V9
domains/mydoma...

 hu fanfan
08:18 AAS-V9企业版: 启动V9中间件报错java.io.IOException:设备上没有空间报错截图如下:

中间件默认队列长度为2048,可以通过启动脚本增加jvm参数修改队列长度重启即可,如

-Dapusic.log.blocking.queueSize=10240

 hu fanfan
08:16 AAS-V9企业版安全测评专区: 安全漏洞扫描的时候扫描出V9中间件允许使用HTTP TRACE/TRACK方法

问题解决:添加TRACE/TRACK方法到中间件配置文件vm.option中apusic.http.disabledMethods后面,重启中间件即可。

 hu fanfan
07:57 AAS-V10企业版: V10集群部署,管控显示节点实例异常终止,但是后台进程正在运行。

问题原因:虚拟机未关闭防火墙。(原因之一)

问题解决:关闭虚拟机防火墙。

 hu fanfan
07:54 AAS-V10企业版: V10新建域后台操作

1.首先进入V10启动目录cd /opt/apusic/aas10/ApusicAS/aas/bin/

2.输入./asadmin create-domain后enter

3.输入新建域的域名test,用户名admin,密...

 hu fanfan
07:50 AAS-V9企业版: 涉密专用机新建域

新建域只需拷贝一个暂时没有启动的域并重命名到/opt/AAS/domains/目录下。

命令:cp /opt/AAS/domains/samples /opt/AAS/domains/新域名XXX

编辑domains.xm...

 hu fanfan

2022-07-21

01:34 AAS-V10企业版: V10部署报错

项目:深圳住建局

报错内容:(前端页面部署后黄框报错内容如下,后台无明显报错)

Error occurred during deployment: : java.lang.IllegalStateException: Co...

 qiu jk

2022-07-19

09:04 AAS-V10企业版: 部署应用报错提示 Caused by: java.lang.ClassNotFoundException: org.springframework.batch.core.configuration.annotation.BatchConfigurer;Caused by: java.lang.ClassNotFoundException: org.crsh.plugin.PluginLifeCycle

应用部署提示:

java.lang.NoClassDefFoundError: org/crsh/plugin/PluginLifeCycle
    at java.lang.ClassLoader.defineClass1...

 chen zh
07:39 AAS-V9企业版: 部署应用报javax.servlet.ServletException:java.lang.NullPointerException

项目:平安科技应用适配

版本:RockyAS-V9.0-220705

报错信息:

问题解决:

加载顺序是先加载filter再加载bean,但图中LoginFilter中的init方法引用了Applica...

 li xiaofei
 

导出 Atom