Pentester un serveur Weblogic et son protocole T3

De nos jours, les applications web deviennent de plus en plus complexes, entre les technologies web qui évoluent à la vitesse de la lumière, les langages de développement qui encapsulent de plus en plus de bibliothèques et de méthodes, et les produits qui profilèrent comme des champignons. Face à cette situation, les entreprises se trouvent contraintes à faire confiance à des usines à gaz pour déployer leurs applications métiers hautement critiques.À vrai dire, la décision s’avère difficile quand il faut choisir entre une architecture «n-tiers» ou client-serveur, entre une spécification J2EE ou dot Net, et enfin, entre un serveur d’applications Jboss ou Weblogic.Cet article a pour objectif de mettre en lumière quelques aspects de sécurité du produit Weblogic. Rappelons qu’une étude détaillée du produit Jboss a été réalisée par l’entreprise «RedTeam» [1]. Cette dernière a récemment publié une nouvelle méthode d’exploitation du serveur Jboss [2].