JBOSS JMXInvokerServlet 보안 액세스 문제

Question

감사 팀이 JMXInvoker 서블릿 보안 액세스에 대한 우려를 제기했습니다. 우리의 테스트 기간 동안

는 "우리는 취약점 스캔을 수행하고 JMXInvokerSerlet에 인증이 필요하지 않은 JBoss 서버를 확인했다. 업로드하고 서버에 임의의 JSP 페이지를 실행하기 위해이을 악용 할 수 있습니다. 우리는 // 서버 이름 : 8080/호출자/JMXInvokerServlet는 "아무도 무단 액세스를 가질 수 있도록 보안 HTTP"누군가가 우리가 할 수있는 솔루션을 제안하는 데 도움이 수

"이 취약점을 악용 할 수 없습니다.

빠른 응답을 부탁드립니다.

Answer 1

JMXInvokerServlet에 대한 무단 액세스를 차단하려면 http : /// invoker/JMXInvokerServlet URL에 대한 액세스를 차단하기 위해 방화벽에서 인터넷으로 규칙을 설정하는 것이 좋습니다. 일부 내부 도구를 실행하려면 JMXInvokerServlet에 대한 액세스가 필요하므로 네트워크 가장자리에서 차단하면 인트라넷이나 VPN 연결을 통해 로컬 도구를 실행하고 인터넷에서 악의적 인 액세스를 차단할 수 있습니다.

로컬 응용 프로그램을 통한 액세스가 필요하지 않은 경우 다음 웹 페이지의 지침에 따라 페이지의 절반 정도 부제 인 "Secure the JMX invokers"자막