gpt4 book ai didi

java - 前端 JBoss 的安全问题 - OWASP 安全性

转载 作者:行者123 更新时间:2023-11-30 06:35:29 25 4
gpt4 key购买 nike

我计划在 Amazon 上的 JBoss 6 上部署一个 EAR 应用程序,该应用程序可在公共(public) Web 上获得。我将需要多个实例,但我不需要集群,ELB 可以在我的案例中完成它的工作。在应用程序的开发过程中已经考虑了 OWASP 安全准则。但是,我对一个 OWASP 原则有疑问:隐蔽性安全。

如何隐瞒我正在使用 JBoss 的事实?我有自定义错误页面,ELB 只允许访问我的应用程序的上下文路径,但是,我担心 JBoss 是否会泄露任何 JBoss 特定的 header 。在每个实例中使用 mod_jk 或 mod_proxy_ajp 将 Apache 放在 JBoss 前面只是为了转发请求是否更安全(如果不必要,我想避免这种情况)?

问候

最佳答案

隐蔽性安全原则并不意味着您应该尝试隐藏事物。实际上,它的意思恰恰相反。请不要依赖于隐藏敏感信息,因为它并不会真正减慢攻击者的速度,而且会产生一种虚假的安全感。

典型 JBoss 安装的巨大攻击面意味着攻击者很可能会弄清楚您正在运行什么。多年来,有许多“产品”声称使用隐藏 header 等技术来隐藏您正在使用的技术的身份。然而,攻击者通常需要做的就是删除 URL 上的一些参数,以获得完整的堆栈跟踪,提供足够的详细信息来确定产品、库、版本等...

您可能会用这种技术甩掉一些较弱的自动扫描仪,但不会甩掉任何真正以您为目标的人。原则很好,但它们极易被解释,而且经常相互矛盾。最好专注于根据 OWASP 应用程序安全验证标准 (ASVS) 验证您的应用程序。

关于java - 前端 JBoss 的安全问题 - OWASP 安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6037834/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com