jboss 默认有几个控制台，都是可能存在漏洞被黑客利用，除了web console 、jmx console。 还有JMXInvokerServlet，访问路径是ip/invoker/JMXInvokerServlet 。

一开始以为删除对应的deploy文件夹（/deploy/http-invoker.sar/）就可以，但是重启发现有一些异常堆栈，大概意思是找不到类，都是action相关的。查了一些发现这个deploy文件夹的功能包括jndi的proxy binding等，按理说没用到应该没关系。既然报错了，那就另辟蹊径，在/http-invoker.sar/invoker.war/WEB-INF/ 下有web.xml 配置文件，那直接把JMXInvokerServlet这个servlet的相关配置注释掉，重启发现这个控制台已经无法访问，这个安全问题也就修复了