zurück zum Artikel

Eine Sicherheitsanalyse des Application-Servers inklusive typischer Fehler bei der Konfiguration und Angriffsszenarien.

JBoss ist ein Baustein der JBoss Enterprise Middleware Suite (JEMS) und einer der verbreitetsten Java-EE-Applicationserver. Das Dokument "Bridging the Gap between the Enterprise and You - Who’s the JBoss now?" beschreibt die Funktionsweise des Servers und welche möglichen Angriffe – auch über das Internet – es auf ihn gibt. Beispielsweise lassen sich Web-Archive-Dateien (WAR) über die addURL-Funktion einbinden, die vom Angreifer definierten Code mit den Rechten des JBoss-Servers ausführen.

Zu kurz kommen leider konkrete Praxistipps und Vorschläge, wie das zu verhindern wäre. Dazu verweisen die Autoren auf weiterführende Literatur wie die frei verfügbare Anleitung "Securing JBoss [1] ".

Patrick Hof, Jens Liebchen: Bridging the Gap between the Enterprise and You (PDF) [2] (dab [3])

URL dieses Artikels:
https://www.heise.de/-878944

Links in diesem Artikel:
[1] https://www.jboss.org/community/wiki/SecureJBoss
[2] http://www.redteam-pentesting.de/publications/2009-06-03-Whitepaper_Whos-the-JBoss-now_RedTeam-Pentesting.pdf
[3] mailto:dab@ct.de

Copyright © 2009 Heise Medien