JBoss控制台加锁.docVIP

Jboss控制台加锁 JBoss 的缺省配置并不限制对“Java 管理扩展”控制台的访问权，远程攻击者可以通过直接请求来略过认证，获取管理访问权，因此，攻击者可以更改机器的配置。攻击者也可以获取关于服务器机器的敏感信息，。限制“JBoss Java 管理扩展”控制台的访问权为jms-consoleweb-console加上认证Jboss版本：4.2.3 1.为jms-console加上认证修改Jboss4.2.3.GA/server/default/deploy/jmx-console.war/WEB-INF下的web.xml和JBoss-web.xmlweb.xml的内容如下： ?xml version=1.0? !DOCTYPE web-app PUBLIC -//Sun Microsystems, Inc.//DTD Web Application 2.3//EN /dtd/web-app_2_3.dtd web-app descriptionThe standard web descriptor for the html adaptor/description !-- filter filter-nameJmxOpsAccessControlFilter/filter-name filter-classorg.jboss.jm