Invasão e proteção
           de Servidores JBoss




         Paulo Renato
Security Specialist & GNU/Linux
        LPIC -...
Apresentação
             Paulo Renato Lopes Seixas
- Especialista em projetos de redes corporativas e
ambientes para cons...
Invasão Vs Proteção




w w
 w .3w .com.br
      ay
O que é o JBoss?

• Jboss Application Server (Jboss AS)

• É um servidor de aplicação Java




w w
 w .3w .com.br
      ay
O que é um servidor de
             aplicação ?
             » É uma plataforma que coordena todas
               as ativi...
Qual é o papel do Sys Admin
             JBoss ?
           » Configuração, monitoramento e tuning
             do Servido...
Estrutura do AS JBoss




w w
 w .3w .com.br
      ay
Hacking the JBoss ....
   » Palavras chaves:
     Mbeans, JMX-Console, Web-console,
     jboss.admin,
     jboss.deploymen...
Protegendo o JBoss
      » DS
        conf/login-config.xml

       * Autenticação
       deploy/management/console-
     ...
Protegendo o JBoss
• Habilitar domínio de segurança
  deploy/management/console-mgr.sar/web-
  console/WEB-INF/jboss-web.x...
Protegendo o JBoss

   » Palavras chaves:
     Jboss-
     web.xml,roles.properties,
     users.properties

    ●
      Au...
Vulnerabilidades
Onde você mesmo imagina existirá um .....




Acredite: Você pode ser o próximo !!!




   w w
    w .3w ...
Invasão e proteção
   de Servidores JBoss

     Dúvidas ???




w w
 w .3w .com.br
      ay
Conclusão


Em vez de adotar a frase:
“Já está bom”, adote esta :
“O bom é inimigo do ótimo”




Não é possível ter 100% d...
Invasão e proteção
         de Servidores JBoss

Contato Profissional:
www.3way.com.br
paulorenato@3way.com.br

          ...
Próximos SlideShares
Carregando em…5
×

Invasão e proteção de servidores JBoss - FLISOL 2009

3.120 visualizações

Publicada em

Publicada em: Tecnologia
1 comentário
5 gostaram
Estatísticas
Notas
  • Um bom material que explica passo a passo as questões que talvez tenham sido discutidas nesta apresentação está publicado num artigo que escrevi em http://blog.paulojeronimo.info/2009/05/hackeando-o-jboss-as.html
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
Sem downloads
Visualizações
Visualizações totais
3.120
No SlideShare
0
A partir de incorporações
0
Número de incorporações
21
Ações
Compartilhamentos
0
Downloads
19
Comentários
1
Gostaram
5
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Invasão e proteção de servidores JBoss - FLISOL 2009

  1. 1. Invasão e proteção de Servidores JBoss Paulo Renato Security Specialist & GNU/Linux LPIC -1 | LPIC – 2 w w w .3w .com.br ay
  2. 2. Apresentação Paulo Renato Lopes Seixas - Especialista em projetos de redes corporativas e ambientes para consolidação da virtualização; - Graduado em Sistemas de Informação pela Universidade Estadual de Goiás; - Implementação de soluções para reduções de custos em TI, projetos de Redes e Treinamentos especializados utilizando Software Livre, tais como GNU/Linux para Segurança de Redes como Firewall, Pen-Test e Segurança de redes baseado na norma ISO 27002 (antiga ISO/IEC 17799); - Gerente de Redes; - Certificado LPIC-2 (Linux Professional Institute Nível 2); w w w .3w .com.br ay
  3. 3. Invasão Vs Proteção w w w .3w .com.br ay
  4. 4. O que é o JBoss? • Jboss Application Server (Jboss AS) • É um servidor de aplicação Java w w w .3w .com.br ay
  5. 5. O que é um servidor de aplicação ? » É uma plataforma que coordena todas as atividades e serviços da infra estrutura da minha aplicação. É uma plataforma de integração que provê: • Um contêiner para aplicações; • Serviços para aplicações que necessitam de realizar deploy no servidor; • Uma interface padrão para comunicação com outros serviços; • Integrar múltiplos serviços no servidor de aplicação; w w w .3w .com.br ay
  6. 6. Qual é o papel do Sys Admin JBoss ? » Configuração, monitoramento e tuning do Servidor de Aplicação » Vários protocolos de acesso (HTTP, HTTPS, AJP, JRMP) • Serviços de Segurança no Servidor de Aplicação (autenticação e autorização), monitorar a performance, varias configurações de tuning. » Configuração de integração back-end. Configuração de conexão pool e tuning para banco de dados, LDAP e outras informações de sistema. w w w .3w .com.br ay
  7. 7. Estrutura do AS JBoss w w w .3w .com.br ay
  8. 8. Hacking the JBoss .... » Palavras chaves: Mbeans, JMX-Console, Web-console, jboss.admin, jboss.deployment * ScanEnabled=True (Hot-deployment) , ● ScanPeriod » Google hacking URLList, inurl:"8080/jmx-console" ● void addurl(), intitle:"MBean Inspector" ● void removeurl() +site:com ● void scan() » DeploymentScanner w w w .3w .com.br ay
  9. 9. Protegendo o JBoss » DS conf/login-config.xml * Autenticação deploy/management/console- mgr.sar/web-console/WEB- INF/classes conf/propos (jmx-console) Jboss-web.xml,roles.properties, users.properties w w w .3w .com.br ay
  10. 10. Protegendo o JBoss • Habilitar domínio de segurança deploy/management/console-mgr.sar/web- console/WEB-INF/jboss-web.xml /deploy/jmx-console.war/WEB-INF/jboss-web.xml Por último, habilitar elementos de security servlet . * /deploy/management/console- mgr.sar/web-console/WEB- INF/web.xml * /deploy/jmx-console.war/WEB- INF/web.xml w w w .3w .com.br ay
  11. 11. Protegendo o JBoss » Palavras chaves: Jboss- web.xml,roles.properties, users.properties ● Autentição em modo texto ● LDAP w w w .3w .com.br ay
  12. 12. Vulnerabilidades Onde você mesmo imagina existirá um ..... Acredite: Você pode ser o próximo !!! w w w .3w .com.br ay
  13. 13. Invasão e proteção de Servidores JBoss Dúvidas ??? w w w .3w .com.br ay
  14. 14. Conclusão Em vez de adotar a frase: “Já está bom”, adote esta : “O bom é inimigo do ótimo” Não é possível ter 100% de segurança, mas devemos assegurar o máximo que pudermos ! w w w .3w .com.br ay
  15. 15. Invasão e proteção de Servidores JBoss Contato Profissional: www.3way.com.br paulorenato@3way.com.br • Obrigado !!! • Contato Pessoal • blog.netsolution.eti.br • paulorenato@netsolution.eti.br w w w .3w .com.br ay •

×