GlassFish 是一款用于构建 Java EE 的应用服务组件,允许开发人员创建可移植且可伸缩的企业应用程序,并与传统技术集成。
GlassFish 存在通用任意文件读取漏洞。利用该漏洞,攻击者可读取服务器上任意文件。
关闭远程管理。关闭后只允许本地访问,且会提示要求输入用户名和密码。推荐开发环境或者对服务器安全要求较高的环境选择该方案。
注意:修改该设置后应重启 GlassFish 服务。
Linux 环境:
./asadmin change-admin-password./asadmin disable-secure-admin./asadmin stop-domain./asadmin start-domain
Windows 环境:
asadmin.bat change-admin-passwordasadmin.bat disable-secure-adminasadmin.bat stop-domainasadmin.bat start-domain
禁用 web.xml theme 映射。
\glassfish4\glassfish\lib\install\applications__admingui\WEB-INF\web.xml。