![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=92.2){kind=small}
![[info]](http://l-stat.livejournal.com/img/community.gif?v=92.2){kind=small}
The immediate risk of attack and compromise from the Internet is considered high, however, due to one core issue:
• The web/application server is miss-configured to allow anonymous users to view directory listings that contain web archives (WAR files) for all web applications hosted on the server. This vulnerability exposes source code, database credentials, and configuration files.
как такое может быть? в конфигурации jboss спрятан за апачем. в самом апаче каталог с .war не упоминается.
пожалуйста, поделитесь ссылочкой, как выключить на jboss листинг .war и как собственно увидеть этот листинг.
PS. переменную listings в server/default/deploy/jbossweb-tomcat55.s
PS2. admin-console в системе нет (.war из деплоя убрали).
March 31 2010, 06:45:21 UTC 2 years ago
March 31 2010, 06:47:40 UTC 2 years ago
нужен перевод? я не подумал, что не все хорошо понимают американский. сорри.
March 31 2010, 07:01:27 UTC 2 years ago
по делу: я в jboss не разбираюсь, поэтому могу посоветовать только почитать логи апача времени тестирования и попробовать воспроизвести найденные там ненормальные запросы. возможно, увидите что-то интересное
March 31 2010, 07:17:34 UTC 2 years ago
в том-то и дело, что время тестирования чётко не известно.
March 31 2010, 08:29:05 UTC 2 years ago
March 31 2010, 08:30:54 UTC 2 years ago