遠程服務在 Spring 應用程序中配置。默認情況下,這些遠程服務不要求 authentication,也不要求進出該服務器的信息必須是明文形式。這就使攻擊者有機會訪問需要特定權限的操作或者獲取敏感數據。
Spring 提供了一種簡單的機制,可用于將任何 Spring 托管的 bean 轉換為可通過 RMI、HTTP、Burlap、Hessian 和 JMX 等協議暴露給外部的對象。遠程 spring bean 的任何公共方法都支持外部調用,而且客戶端與遠程對象之間傳遞的數據都是明文形式。這些服務存在的主要問題是,它們在默認情況下是開放的,而且本身不提供任何保密性或完整性保證。
[1] Anirvan Chakraborty , Jessica Ditt , Aleksa Vukotic , Jan Machacek ProSpring 2.5
[2] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1, Requirement 6.5.10
[3] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.4, Requirement 6.5.8
[4] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.5.4, Requirement 6.5.9
[5] Gary Mak , Daniel Rubio , Josh Long Spring Recipes