Comments 11
Вообще Invoker Servlet довольно не новая фича, в том числе в плане безопасности.
Еще в Tomcat 6 эта штука указана как deprecated и выключена по умолчанию:
В Tomcat 7 такого класса (org.apache.catalina.servlets.InvokerServlet) вообще уже нет.
Что такое SAP Portal не знаю, не пользовался, вероятно какой-то старый Java сервер приложений (в то время как Tomcat всего лишь Java веб сервер, не сервер приложений), но активировать Invoker Servlet по умолчанию (паминг на /servlet/*) это бред, тк эта штука задумывалась для более удобной отладки и соответственно по умолчанию включена не должна быть.
Что касается мапинга <http-method>GET</http-method>, то разработчик сам так указал, это его решение и его ответственность, нужно знать свой инструмент.
Еще в Tomcat 6 эта штука указана как deprecated и выключена по умолчанию:
В Tomcat 7 такого класса (org.apache.catalina.servlets.InvokerServlet) вообще уже нет.Что такое SAP Portal не знаю, не пользовался, вероятно какой-то старый Java сервер приложений (в то время как Tomcat всего лишь Java веб сервер, не сервер приложений), но активировать Invoker Servlet по умолчанию (паминг на /servlet/*) это бред, тк эта штука задумывалась для более удобной отладки и соответственно по умолчанию включена не должна быть.
Что касается мапинга <http-method>GET</http-method>, то разработчик сам так указал, это его решение и его ответственность, нужно знать свой инструмент.
Хаха.
Получается, разработчики SAP в production забыли отключить отладку.
Например, в JBOSS или Tomcat Invoker Servlet по умолчанию отключен и в документации честно предупреждают: включайте только для отладки, ни в коем случае не используйте в production.
Получается, разработчики SAP в production забыли отключить отладку.
Например, в JBOSS или Tomcat Invoker Servlet по умолчанию отключен и в документации честно предупреждают: включайте только для отладки, ни в коем случае не используйте в production.
«какой же облом» это о чем?
Когда вы предлагали найти уязвимость сразу подумал что доступ закрыт только для метода GET. Вот только я не предполагал что уязвимость будет через метод HEAD, думал через POST или PUT.
$('b').map(function(){return $(this).text()}).get().join('')
И какой же?
интересно, а может там сразу был Деплоер через Инвокер? Тогда сразу RCE с бэкдором было бы 8)
ctc? ;)
Sign up to leave a comment.
SAPокалипсис. BlackHat. Взлом J2EE. Кошмар, кошмар