<分区>
如果 Tomcat7(在 Ubuntu 12.x 上)被黑客攻击(由弱用户名/密码引起),黑客可以做什么?他当然可以部署 .war 文件。
但是: 他可以访问完整的文件系统吗? 他可以更改 tomcat/FTP/ubuntu 管理员密码吗? 还是根本没有限制?
<分区>
如果 Tomcat7(在 Ubuntu 12.x 上)被黑客攻击(由弱用户名/密码引起),黑客可以做什么?他当然可以部署 .war 文件。
但是: 他可以访问完整的文件系统吗? 他可以更改 tomcat/FTP/ubuntu 管理员密码吗? 还是根本没有限制?
最佳答案
如果您谈论的是 tomcat 管理器应用程序(可用于部署新的网络应用程序)的弱密码:好吧 - 您能想象一个名为“远程文件资源管理器”的网络应用程序吗?或“远程外壳”?基本上,如果您可以将代码上传到执行的服务器,几乎没有限制。
好吧,限制是由您的管理员设置的:Java(及其 Tomcat)可以在沙箱/安全管理器中运行。实际上,我知道执行此操作的安装并不多。此外,相当多的 tomcat 安装以 root 用户身份运行 - 如果您失去对此类实例的控制,您就完蛋了。
所以您要问的问题是:“攻击者可以在我的服务器上运行任意代码是否危险?”我不想透露这一点,但答案是肯定的。
对于 tomcat,我觉得 manager 应用程序很适合调试,但不是你想部署在生产系统上的东西,对世界可见。但这只是硬化过程中非常小的一部分。
哦,尽管它可能不完全适合这种情况,但您可能想看看 Java/Tomcat hacked ,我刚刚发现这个滚动 - 一个很好的弱密码替代漏洞。
关于apache - 被黑的 Apache Tomcat 服务器有哪些危险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16427137/
相关文章:
Ubuntu 更新后 Apache 404 Not Found 错误
java - 如何在pom.xml中配置 "tomcat7-maven-plugin"?
java - 更新一个巨大的 war 文件而无需每次都重新部署 - apache
tomcat7 - 如何显示 Apache Tomcat 7.0 控制台窗口?
java - 错误 : package javax. servlet.http 不存在
apache - 无法为您的平台加载 native-hadoop 库(Ubuntu 12.04)错误?
ruby-on-rails - 在本地主机中使用 Apache\Phusion Passenger 为虚拟主机设置 SSL 证书时出现问题