使用 RMI 的 HTTP 隧道安全性
我担心从远程数据库发送到基于 java 的客户端软件的数据没有安全发送,因为它使用 RMI 的 http 隧道而不是 https。
问题是我需要在我的老板与 IT 公司交涉之前向他证明我的脆弱性。
如何向 RMI cgi serverlet 发送和接收数据来测试这个理论?
我已经使用wireshark来查看数据包,并且可以看到数据发布到的url,但不知道复制RMI协议的简单方法(无需编写整个Java应用程序)。
I am concerned that the data that is being sent from our remote database to the java based client software is not being sent securely as it is using http tunneling with RMI rather than https.
The problem is I need to prove the vunerability to my boss before he takes it up with the IT company.
How can I send and receive data to an RMI cgi serverlet to test this theory?
I have used wireshark to see the packets and I can see the url that the data is POSTed to but have no idea of an easy way to replicate the RMI protocol (without writing a whole Java app).
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
我相信您可以使用简单的签名创建特殊方法,如
String foo(String);
现在尝试使用您的机制和用户wireshark调用此方法来捕获数据包。我认为如果数据没有加密,您将能够以明文形式看到参数和返回值。
I believe that you can create special method with simple signature like
String foo(String);Now try to call this method with your mechanism and user wireshark to catch packets. I think that if the data is not encrypted you will be able to see the parameter and return value in clear text.