首页 » 应用安全 » Web 服务器 » JBoss » 正文

JBoss 常见加固

1,修改默认管理页面

默认安装的管理后台目录:jboss/server/default/deploy/jmx-console.war
删除,或者修改为无法猜测出来的目录,例如:jboss/server/default/deploy/jmx-console123aa!.war


2,后台开启用户认证

jboss/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml

jboss/server/default/deploy/jmx-console.war/WEB-INF/web.xml

jboss/server/default/conf/props/jmx-console-users.properties
注意:设置足够复杂的口令。

jboss/server/default/conf/props/jmx-console-roles.properties


3,常见代码执行漏洞文件

下面两个文件在多个版本中都存在代码执行漏洞,建议删除。
/invoker/JMXInvokerServlet
/invoker/EJBInvokerServlet
删除对应的web目录:
jboss/server/default/deploy/http-invoker.sar

4,禁止目录浏览

检查发布应用的conf/web.xml文件
<init-param>
    <param-name>listings</param-name>
    <param-value>false</param-value> </init-param>

发表评论