3
如果Tomcat7(在Ubuntu 12.x上)被攻击(由弱用户名/密码引起),黑客能够做什么?当然他可以部署.war档案。被黑客入侵的Apache Tomcat服务器有哪些危险?
但是: 他就可以得到完整的文件系统访问? 他可以更改tomcat/FTP/Ubuntu管理员密码吗? 还是没有限制?
A
回答
4
如果你正在谈论的Tomcat管理应用程序(即你可以用它来部署新的web应用)弱密码:嗯 - 你能想象所谓的“远程文件浏览器” Web应用程序?或“远程外壳”?基本上,如果您可以将代码上传到执行的服务器,则几乎没有限制。
好了,限制由管理员设置:爪哇(与它的Tomcat),可以在沙箱/安全管理器运行。我其实并不知道这样做的许多安装。另外,很多tomcat安装都以root用户身份运行 - 如果您失去对这种实例的控制权,您就会敬酒。
所以你问的问题是:“它是危险的,当攻击者可以在我的服务器上运行任意代码?”我不愿透露这一点,但答案是“是”。
比如Tomcat的,我觉得管理器应用程序是很好的调试,但不是你想在生产系统上部署的东西,走向世界是可见的。但这只是硬化过程中的一小部分。
哦,虽然它可能不完全适合在这种情况下,但你可能想看看Java/Tomcat hacked,我只是发现这个滚动 - 一个很好的替代弱密码的弱点。
相关问题
- 1. Apache服务的纯HTML网站可以被黑客入侵吗?
- 2. 迁移到从被黑客入侵的服务器清除cPanel
- 3. 链接服务器危险
- 4. Facebook应用程序被入侵/被黑客入侵
- 5. Joomla网站被黑客入侵
- 6. 登录不断被黑客入侵
- 7. Joomla网站被黑客入侵了吗?
- 8. 评价服务器js文件危险
- 9. 哪些是远程调试的危险?
- 10. Google Play IAP黑客入侵?
- 11. MySql数据库被黑客入侵,未注入
- 12. Android应用可以被黑客入侵吗?
- 13. Linux命令行:编辑被黑客入侵的索引文件
- 14. 检测iOS应用是否被黑客入侵
- 15. 会话值是否可以被黑客入侵?
- 16. 没有涉及服务器的XSS - 这是否危险?
- 17. 被黑客入侵。黑客如何获得用户的个人URL(标记)?
- 18. 关于网站上被黑客入侵的代码的说明
- 19. Apache服务器和Tomcat服务器
- 20. 需要REGEX帮助清理被黑客入侵的脚本
- 21. Unicode输入危险
- 22. Flash黑客入侵/拦截/发送
- 23. 清漆缓存可能被黑客入侵吗?
- 24. 网站上传防止黑客入侵
- 25. Servlets和Apache Tomcat服务器
- 26. Apache Tomcat服务器错误
- 27. 在JSON中传递JS函数有哪些XSS危险?
- 28. 这是一个JavaScript黑客入侵吗?
- 29. Web表单可能被黑客入侵吗?
- 30. .htaccess文件是否可以被黑客入侵?
,人们通常不认为是运行Tomcat下。例如过程,如果你有SOLR运行时,它们将能够删除整个SOLR指数等等不好的威胁... – Zak 2013-05-07 19:40:42