审计团队对 JMXInvoker servlet 安全访问提出了以下担忧。
“在我们的测试过程中,我们执行了漏洞扫描并确定了一个不需要对 JMXInvokerSerlet 进行身份验证的 Jboss 服务器。可以利用它来上传和执行任意 JSP 页面到服务器。我们无法利用这个漏洞"
任何人都可以帮助我们提出一种解决方案,使“ http://ServerName:8080/invoker/JMXInvokerServlet ”安全,这样任何人都无法进行未经授权的访问。
问问题
3282 次
1 回答
1
要阻止对 JMXInvokerServlet 的未经授权的访问,我建议您在防火墙中设置一条规则来访问 Internet,以阻止对 URL http:///invoker/JMXInvokerServlet 的访问。为了运行一些内部工具,需要访问 JMXInvokerServlet,因此在网络边缘阻止它仍将允许用户在您的 Intranet 或通过 VPN 连接上运行本地工具,同时阻止来自 Internet 的恶意访问。
如果需要本地应用程序访问不是问题,则按照以下网页上的说明进行操作(大约在页面的一半,副标题“保护 JMX 调用程序”)
于 2013-10-24T00:08:57.297 回答