Admin sem segurança

Vejam alguns consoles do JBoss em instalações na internet.

http://www.google.com/search?hl=all&q=inurl%3A%22%2Fjmx-console%2F%22+%22JMX+MBean+View%22

Esta pesquisa no google irá procurar por todas as urls que tenham “/jmx-console/” e a string completa “JMX MBean View”.

Se quiserem ver sites brasileiros, adicionem a opção site:com.br ou site:gov.br

O console do JBoss tem esta String no console de administração, que visualiza os nomes JNDI.

Os administradores de sistema dos sites resultados da pesquisa deveriam habilitar a segurança do console de administração.

Vejam como habilitar o console de segurança.

Já usei o JBoss em diversos projetos desde 2002 e sempre que o projeto é colocado em produção, o console admin é removido ou é habilitado a segurança na autenticação.

Leiam isso apenas como aviso de como melhorar as instalações de sistemas. Acessei alguns consoles admin, para ver se a segurança estava realmente desabilitada. Não fiz nenhuma alteração no sistema. Recomendo que vocês também não o façam.

Written on July 24, 2009