JBOSS JMXInvokerServlet安全訪問問題

Question

審覈小組提出以下有關JMXInvoker servlet安全訪問的問題。

「在我們的測試中，我們進行漏洞掃描和識別，並不需要身份驗證的JMXInvokerSerlet一個JBoss服務器，它可能會以上傳並執行任意JSP頁面的服務器來利用這一點。我們無法利用此漏洞的」

任何人都可以幫助我們提出了一個解決方案，以‘http：//服務器：8080 /調用/ JMXInvokerServlet’保證使任何人可以有未經授權的訪問。

快速反應將不勝感激。

Answer 1

爲了阻止對JMXInvokerServlet的未經授權的訪問，我建議您在防火牆中設置一條規則以阻止訪問URL http：/// invoker/JMXInvokerServlet。爲了運行一些內部工具，JMXInvokerServlet需要訪問，因此在網絡邊緣阻止它仍然允許用戶在您的Intranet上或通過VPN連接運行本地工具，同時阻止來自Internet的惡意訪問。

如果需要通過本地應用程序的訪問是不是一個問題，然後按照以下網頁上的說明（大約一半下來的頁面，字幕「保障JMX調用者」）