Les tests d'intrusion sur applications Web nous amènent régulièrement à rencontrer les plateformes J2EE qui les hébergent. Dans certaines conditions, ces serveurs d’application peuvent être très intéressants pour un attaquant. Nous verrons pourquoi à travers cet article.
1. Panorama des serveurs d’application J2EE
Tout d'abord, présentons ce qu'est un serveur d’application. Sans trop entrer dans les détails, il s'agit d'un environnement constitué d'un ensemble de composants répartis en plusieurs couches : présentation/métier/données. L'intérêt est de déployer de manière « relativement » souple des applications Web fondées sur les technologies J2EE. Les technologies Web utilisées dans le cas des WAS (Web Application Server) seront – selon le besoin – JSP (code source interprété par le serveur) ou des Servlets (code précompilé qui sera chargé une seule fois par le serveur).
La couche présentation est en général composée d'un serveur HTTP (Apache ou dérivé) et d’un conteneur souvent à base de Tomcat pour gérer les Servlets et le code JSP. Du côté métier, ou application, nous retrouvons l'ensemble des API J2EE, les EJB. Il est ainsi possible de mettre en place tous les connecteurs souhaités : bienvenue...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
