JBoss 4 ve 5 de , güvenlik açığı oluşmaması için invoker.war içindeki EJBInvokerServlet ve JMXInvokerServlet'in kapatılması gerekir. Kapatılması için aşağıdaki klasörde bulunan invoker.war değiştirilir :
[jboss_klasörü]\server\default\deploy\http-invoker.sar\invoker.war
Bu klasör içinde WEB-INF/web.xml dosyası içinde aşağıdaki bölümlerin silinmesi gerekir :
JMXInvokerServlet
The JMXInvokerServlet receives posts containing serlized
MarshalledInvocation objects that are routed to the invoker given by
the the MBean whose object name hash is specified by the
invocation.getObjectName() value. The return content is a serialized
MarshalledValue containg the return value of the inovocation, or any
exception that may have been thrown.
org.jboss.invocation.http.servlet.InvokerServlet
1
EJBInvokerServlet
The EJBInvokerServlet receives posts containing serlized
MarshalledInvocation objects that are routed to the EJB invoker given by
the invokerName init-param. The return content is a serialized
MarshalledValue containg the return value of the inovocation, or any
exception that may have been thrown.
org.jboss.invocation.http.servlet.InvokerServlet
invokerName
jboss:service=invoker,type=http
The RMI/HTTP EJB compatible invoker
1
JMXInvokerServlet
/JMXInvokerServlet/*
JMXInvokerServlet
/readonly/JMXInvokerServlet/*
EJBInvokerServlet
/EJBInvokerServlet/*