3
如果Tomcat7(在Ubuntu 12.x上)被攻擊(由弱用戶名/密碼引起),黑客能夠做什麼?當然他可以部署.war檔案。被黑客入侵的Apache Tomcat服務器有哪些危險?
但是: 他就可以得到完整的文件系統訪問? 他可以更改tomcat/FTP/Ubuntu管理員密碼嗎? 還是沒有限制?
A
回答
4
如果你正在談論的Tomcat管理應用程序(即你可以用它來部署新的web應用)弱密碼:嗯 - 你能想象所謂的「遠程文件瀏覽器」 Web應用程序?或「遠程外殼」?基本上,如果您可以將代碼上傳到執行的服務器,則幾乎沒有限制。
好了,限制由管理員設置:爪哇(與它的Tomcat),可以在沙箱/安全管理器運行。我其實並不知道這樣做的許多安裝。另外,很多tomcat安裝都以root用戶身份運行 - 如果您失去對這種實例的控制權,您就會敬酒。
所以你問的問題是:「它是危險的,當攻擊者可以在我的服務器上運行任意代碼?」我不願透露這一點,但答案是「是」。
比如Tomcat的,我覺得管理器應用程序是很好的調試,但不是你想在生產系統上部署的東西,走向世界是可見的。但這只是硬化過程中的一小部分。
哦,雖然它可能不完全適合在這種情況下,但你可能想看看Java/Tomcat hacked,我只是發現這個滾動 - 一個很好的替代弱密碼的弱點。
相關問題
- 1. Apache服務的純HTML網站可以被黑客入侵嗎?
- 2. 遷移到從被黑客入侵的服務器清除cPanel
- 3. 鏈接服務器危險
- 4. Facebook應用程序被入侵/被黑客入侵
- 5. Joomla網站被黑客入侵
- 6. 登錄不斷被黑客入侵
- 7. Joomla網站被黑客入侵了嗎?
- 8. 評價服務器js文件危險
- 9. 哪些是遠程調試的危險?
- 10. Google Play IAP黑客入侵?
- 11. MySql數據庫被黑客入侵,未注入
- 12. Android應用可以被黑客入侵嗎?
- 13. Linux命令行:編輯被黑客入侵的索引文件
- 14. 檢測iOS應用是否被黑客入侵
- 15. 會話值是否可以被黑客入侵?
- 16. 沒有涉及服務器的XSS - 這是否危險?
- 17. 被黑客入侵。黑客如何獲得用戶的個人URL(標記)?
- 18. 關於網站上被黑客入侵的代碼的說明
- 19. Apache服務器和Tomcat服務器
- 20. 需要REGEX幫助清理被黑客入侵的腳本
- 21. Unicode輸入危險
- 22. Flash黑客入侵/攔截/發送
- 23. 清漆緩存可能被黑客入侵嗎?
- 24. 網站上傳防止黑客入侵
- 25. Servlets和Apache Tomcat服務器
- 26. Apache Tomcat服務器錯誤
- 27. 在JSON中傳遞JS函數有哪些XSS危險?
- 28. 這是一個JavaScript黑客入侵嗎?
- 29. Web表單可能被黑客入侵嗎?
- 30. .htaccess文件是否可以被黑客入侵?
,人們通常不認爲是運行Tomcat下。例如過程,如果你有SOLR運行時,它們將能夠刪除整個SOLR指數等等不好的威脅... – Zak 2013-05-07 19:40:42