Security vendor Imperva has identified an access-control vulnerability in DWR, Java Open Source AJAX development framework (stable release 1.1.3 and 2.0), which it says an attacker can use to compromise a DWR based application which may in turn enable him to say break into back-end databases or servers or launch a denial-of-service-attack.セキュリティベンダimpervaは、アクセスコントロールの脆弱性を発見するグループ、 ajaxオープンソースのJava開発フレームワーク(安定版リリース1.1.3および2.0 ) 、これは言うことによって攻撃者はグループベースのアプリケーションを使用して妥協案を5月に電源を有効に彼に言ってやるバックエンドのデータベースに侵入する、またはサーバーまたはを開始するサービス拒否攻撃です。

On a positive note Imperva commented that DWR, AJAX Web application development framework, isコメントしては、積極的に注意impervaグループ、 ajax Webアプリケーション開発フレームワークは、
“emerging as the lingua franca for building new generation Web 2.0 applications” "リンガフランカとして浮上して新世代のWeb 2.0アプリケーションを構築" : )

Forceful Method Invocation Attacks 強制的なメソッド呼び出しの攻撃
The key issue is how DWR restricts access to not exposed class methods.グループの重要な問題は、どのようにさらさ特定のクラスメソッドのアクセスを制限しています。 DWR 1.1.3 provides a configuration option that forbids the invocation of class methods. 1.1.3構成オプションのグループでは、クラスメソッドの呼び出しを禁止しています。 This exclusion can be applied to some or all of a class’s methods, and it is configured in the dwr.xml file.この除外に適用されることをいくつかまたはすべてのクラスのメソッド、および構成されていることがdwr.xmlファイルです。 DWR 2.0 adds an additional configuration option that includes JAVA code annotations.グループの設定オプションを追加する2.0 Javaコードの注釈が含まれています。 However, both methods enforce their restrictions only on the client side.しかし、それぞれの規制を実施、両方の方法をクライアント側でのみです。 Therefore, by manipulating HTTP requests through a proxy, excluded methods can be invoked.したがって、 HTTPリクエストを操作するプロキシを介して、除外するメソッドを呼び出すことがあります。 This also applies to public methods that are inherited from super classes.このパブリックメソッドにも適用することは、スーパークラスから継承します。

As a consequence of the above vulnerability restricted operations may be unintentionally exposed to web users.結果として、上記の脆弱性を制限オペレーション年5月に誤ってウェブユーザーにさらされています。

Solution 解決策
The solution is simple for application developers.アプリケーション開発者のための解決策は単純です。 Simply mark the methods that you don’t want to expose as private or protected.単純にマークする方法を公開することを望まない場合は、プライベートまたは保護されます。 Anyone not doing so already should be expelled from Java world for lacking the minimum concepts of object oritented developmentさもないと、すでに誰から追放すべきであるJavaの世界で最小の概念をオブジェクトに欠けてoritented開発 : )

You can also use a Proxy to expose certain methods only.プロキシを使用することも、特定のメソッドを公開するのみです。

On DWR’s side the solution would be to enforce the same restrictions on server side too, isn’t it elementary Dr. Watson?上のグループの側を強制的に適用する解決策は、サーバー側でも同じ制限を、ワトソン博士の小学校ではないことですか?