проблемы безопасности jboss4

[jrmm]

из отчёта внешнего аудита:

The immediate risk of attack and compromise from the Internet is considered high, however, due to one core issue

Comments

[scoon_the_crazy]

А зачем вообще класть war-файлы в каталог, который доступен через web?

[jrmm]

я не понимаю, как он доступен. в апаче не упоминается.
можно ли выйти "вверх" из пределов контекста?

[scoon_the_crazy]

Я тоже не вижу способа достучаться к ним в стандартной конфигурации (панель управления, полагаю, Вы закрыли от внешнего доступа?)

Стало быть, нужно запросить для верификации настроек описание способа, которым они получили доступ к war'ам. Не исключено, что это просто фантазии (в моей практике такое было)

[jrmm]

во первых, внешний доступ там через апач - то есть имена виртуальных хостов фильтруются.
во вторых, в server.xml закомментированы эти приложения, а .war из default/deploy убраны в другой каталог.
может ли быть беда в самом приложении (программеры отпираются)?

еще такой момент. программеры пишут, что исходников в .war нет. правда ли это?