Websecurity - Веб безпека

04.06.2011

У березні, 06.03.2010, я знайшов Information Leakage та Brute Force уразливості в JBoss Application Server (JBoss AS). Які я виявив на одному сайті Укртелекома. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

09.09.2011

Information Leakage:

http://site/status
http://site/status?full=true

Публічно доступна статистика роботи сервера з переліком всіх його сервісів.

Brute Force:

http://site/jmx-console/
http://site/web-console/
http://site/admin-console/ (починаючи з версії 5.1.0)
http://site/jbossws/ (зустрічаються сервери, де на даний ресурс пароль не встановлено)

Та інші приватні ресурси з BF уразливістю (що, як і вищенаведені ресурси, окрім Admin Console, сховані за Basic Authentication). Список всіх ресурсів конкретного сервера можна побачити на сторінці status?full=true.

Уразливі JBoss 3.2.7, JBoss 4.0.5.GA, JBoss 5.0 та попередні версії.

This entry was posted on 23:58 09.09.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.