今天早上,我从审计员那里收到了我们的 jboss 服务器的扫描结果,我们需要解决三个重要问题,但老实说,我在谷歌上搜索了一段时间,什么也没找到。如果有人知道或有任何线索如何解决,我将不胜感激。我们在 (windows 2003 x64) 上运行 jboss 5.0.1
扫描漏洞:
.- JBoss HttpAdaptor JMXInvokerServlet is Accessible to Unauthenticated Remote Users
.- JBoss EJBInvokerServlet is Accessible to Unauthenticated Remote Users.
.- TLS Protocol Session Renegotiation Security Vulnerability
提前致谢。
答案1
http://你的服务器名称:8080/invoker/EJBInvokerServlet
如果您保持原来的配置,则上述情况表明您遇到了问题。
您不想这样做的原因非常清楚,它允许任何人调用您系统上他们想要的任何 servlet。
简短的回答是,在你的 web.xml 中找到它并禁用它。
有关原因的 Tomcat 特定文章: http://www.astrahosting.com/blog/2009/09/16/chapter-14-tomcat-security-disabling-an-invoker-servlet/
答案2
JBoss 有可怕的是不安全的默认设置,而且锁定起来非常麻烦(需要接触大量文件,而且糟糕的文档遍布于网站集合的创建中)。这比 20 世纪 90 年代中期 IIS 的第一个版本还要糟糕。
我认为它永远不应该直接暴露在互联网上——这样太容易搞砸了,而且你永远不知道什么时候升级会引入一个向世界开放的新的“功能”。
因此,为了将其锁定,请在其前面放置一个代理,并仅传递您知道希望世界看到的应用程序 URL 模式。我们在 Linux 上使用 nginx 作为代理与 Windows x64 上的 JBoss 服务器通信,但在这方面有很多选择。甚至到达率在这种情况下,IIS7 运行良好。