최근 우리 시스템의 취약점을 발견 한 보안 감사가있었습니다. 우리는 리소스 (HTML 도움말 파일, 이미지, jar 파일)를 제공하기 위해 우리가 사용하는 아주 간단한 웹 서버를 가지고 있습니다.jar 파일에 액세스 할 때의 보안 문제
우리가 가지고있는 응용 프로그램은 자바 웹 스타트이고 jnlp는 서버에 생성되고 브라우저에로드됩니다 그것은 응용 프로그램에 필요한 jar 파일을 다운로드하기 위해 우리의 웹 서버를 호출합니다. 결국 응용 프로그램이 시작되면 로그인 화면이 사용자에게 프롬프트됩니다.
그러나 브라우저에 입력하여 jnlp가 장면 뒤에서 수행하는 jar를 다운로드 할 수 있으며이 사실은 보안 취약점으로 간주됩니다. 주된 관심사는 인증되지 않은 사용자가 유효한 계정이 없어도 jar 파일에 액세스 할 수 있다는 것입니다.
내 질문은 다음과 같습니다 jar 파일이 로그인 화면 2. 전에 클라이언트 시스템에 도달해야하기 때문에 1. 정당화 보안 취약점 주장입니다 우려가 나는 응용 프로그램 항아리에 대한 액세스를 확보 할 수있는 방법을 정당화하는 경우 파일? 의 JNLP 자원을 노출하는 것은 보안 취약점의 경우, 나도 몰라 당신이 궁극적으로 무엇을 보호 할 것인가 모른 채 마리우스
어떤 종류의 웹 서버를 실행하고 있습니까? – bsimic
보안 취약점 인 경우 공개적으로 논의하고 싶습니까?/코드가 네트워크 외부에서 실행될 경우 노출 될 필요가 있습니다 (난독 화 될 수 있지만 실제로 보안을 구성한다고 생각하지는 않습니다). 웹 브라우저에서도 JavaScript 소스를 볼 수 있습니다 (Ctrl-U를 사용하지 않도록 설정하고 마우스 오른쪽 버튼을 클릭하면 효과가 떨어집니다). –
그것은 ih-house가 수행되는 간단한 웹 서버이며 이는 보안을 지금까지 고려하지 않은 이유 중 하나입니다. –