JBoss XACML 是 JBoss 组织对 XACML 标识语言的实现。
OASIS批准了一种新的标记语言,它承诺可以使策略管理和访问决策标准化。 2003年2月,可扩展访问控制标记语言(Extensible Access Control Markup Language,XACML)获得了批准,成为了一个OASIS标准。 XACML定义了一种通用的用于保护资源的策略语言和一种访问决策语言。
每个企业都需要保护由雇员、合作伙伴、顾客访问的资源。 例如, 在当今的企业中,基于浏览器对聚合资源(web页、应用、服务,等等)的门户的访问是很典型的。为了获取资源,客户端将请求发送到服务器,但在服务器将资源返回之前,必须确定请求者是否被授权使用该资源,这就是XACML的适用之处。
。
XACML 提供了一种策略语言,这种策略语言允许管理员定义访问控制需求,以便获取所需的应用资源。 语言和模式支持包括数据类型、函数和允许定义复杂 (或简单) 规则组合逻辑。 XACML还包括一种访问决策语言,用于描述对资源的运行时请求。当确定了保护资源的策略之后,函数会将请求中的属性与包含在策略规则中 的属性进行比较,最终生成一个许可或拒绝决策。
漏洞版本: JBoss Enterprise Application Platform (即JBoss EAP或JBEAP) 6.0.1之前版本 漏洞描述: CVE ID:CVE-2012-4550 JBOSS是一个基于J2EE的开放源代码的应用服务器。 当使用基于角色的授权用于Enterprise Java Beans (EJB)访问时,必须使用JACC权限来判断访问;但是存在一个安全漏洞没