দুর্বলতা

0

সম্প্রতি আমাদের সুরক্ষা তথ্য দলটি নির্ধারণ করেছে যে আমাদের সিস্টেমে যে কোনও একটিতে দুর্বলতা রয়েছে।

ক্ষতিগ্রস্থতার বর্ণনা:

জবস এইচটিএপএডাপ্টর জেএমএক্সআইএনভোকার সার্লেট অপ্রমাণিত প্রত্যন্ত ব্যবহারকারীদের জন্য অ্যাক্সেসযোগ্য

এটিতে গুগলিং খুব বেশি তথ্য সরবরাহ করে নি। কীভাবে আমরা বিষয়টি সমাধান করতে পারি?

security  http 
শ্রী এন
সূত্র
এই আমি ফোরাম এক পেয়েছিলাম। দুর্বলতার উপরের অর্থ, যে কোনও জিইটি বা পোষ্ট অনুরোধগুলি অবরুদ্ধ এবং 401 ত্রুটি পেয়েছে। এইচটিটিপি প্রোটোকলটিতে জিইটি এবং পোষ্টের পাশাপাশি অন্যান্য ক্রিয়াও অন্তর্ভুক্ত রয়েছে, উদাহরণস্বরূপ শিরোনাম, পুট এবং মোছা। এই ক্রিয়াগুলি জিইটি হ্যান্ডলার দ্বারা কার্যকর করা হবে কারণ সেগুলি সুরক্ষা সীমাবদ্ধতায় তালিকাভুক্ত নয়। GET হ্যান্ডলারের ট্রিগার থেকে বাকী ক্রিয়াগুলি রোধ করতে। GET এবং POST এর সুস্পষ্ট অস্বীকার অবশ্যই অপসারণ করতে হবে। এটি ডিফল্টভাবে সমস্ত ক্রিয়া অবরুদ্ধ করবে। এটা কি ঠিক ?
শ্রী এন

উত্তর:

2

জবাবস একাধিক অ্যাডমিন অ্যাক্সেস পয়েন্ট নিয়ে আসে যেগুলি মোতায়েনের প্রশাসনিক কার্যগুলিতে অননুমোদিত অ্যাক্সেস রোধ করতে সুরক্ষিত বা অপসারণ করা দরকার। নিম্নলিখিত বিভাগগুলিতে বিভিন্ন অ্যাডমিন পরিষেবাদি এবং সেগুলি কীভাবে সুরক্ষিত করা যায় তা বর্ণনা করে।

Jmx-console.war পরিষেবা

স্থাপনা ডিরেক্টরিতে পাওয়া জেএমএক্স-কনসোল.ওয়ার জেএমএক্স মাইক্রোকারনেলে একটি HTML ভিউ সরবরাহ করে। অতএব, এটি স্বেচ্ছাসেবক-প্রকারের অ্যাডমিনের অ্যাক্সেস সরবরাহ করে যেমন সার্ভার বন্ধ করে দেওয়া, পরিষেবাগুলি বন্ধ করা, নতুন পরিষেবা মোতায়েন করা ইত্যাদি and এটি হয় অন্য কোনও ওয়েব অ্যাপ্লিকেশনের মতো সুরক্ষিত বা সরানো উচিত।

ওয়েব-console.war পরিষেবা

মোতায়েন / পরিচালন ডিরেক্টরিতে পাওয়া ওয়েব-কনসোল.ওয়ার হ'ল জেএমএক্স মাইক্রো কার্নেলটিতে থাকা অন্য ওয়েব অ্যাপ্লিকেশন ভিউ। এটি একটি অ্যাপলেট এবং এইচটিএমএল ভিউয়ের সংমিশ্রণ ব্যবহার করে এবং jmx-console.war হিসাবে প্রশাসকের কার্যকারিতাটিতে একই স্তরের অ্যাক্সেস সরবরাহ করে। সুতরাং, এটি হয় সুরক্ষিত বা অপসারণ করা উচিত। ওয়েব-কনসোল.ওয়ারটিতে তার ওয়েবে-আইএনএফ / ওয়েব.এক্সএমএল-তে বেসিক সুরক্ষার জন্য মন্তব্য-আউট টেম্পলেট রয়েছে পাশাপাশি ওয়েবে-আইএনএফ / jboss-web.xML এ সুরক্ষা ডোমেনের জন্য মন্তব্য-আউট সেটআপ রয়েছে।

HTTP-invoker.sar পরিষেবা

স্থাপনা ডিরেক্টরিতে পাওয়া HT-invoker.sar হ'ল একটি পরিষেবা যা ইজেবি এবং জেএনডিআই নামকরণ পরিষেবার জন্য আরএমআই / এইচটিটিপি অ্যাক্সেস সরবরাহ করে। এর মধ্যে একটি সার্লেট রয়েছে যা মার্শেল করা org.jboss.invocation এর পোস্টগুলিতে প্রক্রিয়া করে। এমভোশনেশন অবজেক্টগুলি যেগুলি আমন্ত্রণগুলি প্রতিনিধিত্ব করে যা এমবিইন সার্ভারে প্রেরণ করা উচিত। এটি কার্যকরভাবে এমবিয়ানদের অ্যাক্সেসের অনুমতি দেয় যা এইচটিটিপি এর মাধ্যমে বিচ্ছিন্ন আহ্বানকারী অপারেশনকে সমর্থন করে কারণ কোনও উপযুক্ত HTTP পোস্টটি কীভাবে বিন্যাস করতে হবে তা কেউ বুঝতে পারে। এই অ্যাক্সেস পয়েন্টটি সুরক্ষিত করার জন্য, আপনাকে জেএমএক্সআইএনভোকার সার্লেট সার্লেটটি HT-invoker.sar / invoker.war / WEB-INF / ওয়েব.এক্সএমএল বর্ণনাকারীতে পাওয়া নিরাপদ করতে হবে। একটি সুরক্ষিত ম্যাপিং ডিফল্টরূপে / সীমাবদ্ধ / জেএমএক্সআইএনভোকার সার্লেট পাথের জন্য সংজ্ঞায়িত করা হয়; এটি ব্যবহার করার জন্য, আপনাকে কেবল অন্য পাথগুলি সরাতে হবে এবং http-invoker.sar / ইনভোকারে HT-invoker সুরক্ষা ডোমেন সেটআপটি কনফিগার করতে হবে।

Jmx-invoker-অ্যাডাপ্টারের-server.sar পরিষেবা

জেএমএক্স-ইনভোকার-অ্যাডাপ্টার-সার্ভার.সার এমন একটি পরিষেবা যা আরএমআই-সামঞ্জস্যপূর্ণ ইন্টারফেসের মাধ্যমে জেএমএক্স এমবিএন সার্ভার ইন্টারফেসটি প্রকাশ করে, আরএমআই / জেআরএমপি বিচ্ছিন্ন চালক পরিষেবাটি ব্যবহার করে। বর্তমানে, এই পরিষেবাটি সুরক্ষিত করার একমাত্র উপায় হ'ল প্রোটোকলটি আরএমআই / এইচটিটিপি-তে স্যুইচ করা এবং পূর্ববর্তী বিভাগে বর্ণিত হিসাবে http-invoker.sar সুরক্ষিত করা। ভবিষ্যতে, এই পরিষেবাটি সুরক্ষা ইন্টারসেপ্টারের সাথে এক্সএমবিয়ান হিসাবে স্থাপন করা হবে যা ভূমিকা ভিত্তিক অ্যাক্সেস চেকগুলিকে সমর্থন করে। যদি আপনি এত ঝুঁকে থাকেন তবে আপনি আজই এই কনফিগারেশনটি সেট আপ করতে পারেন, " সংস্করণ 3: জেএনডিআইএমপি এক্সএমবিয়ানটিতে সুরক্ষা এবং রিমোট অ্যাক্সেস যুক্ত করা " অনুচ্ছেদ 2 , "দ্য জেবস জেএমএক্স মাইক্রোকার্নেল" বিভাগে প্রদর্শিত পদ্ধতি অনুসরণ করে ।

দীপক নায়েক
সূত্র
এই পরিষেবাগুলি Jboss 7.1.1 এরও একটি অংশ?
সিম্পল কুমার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.