如果 Tomcat7(在 Ubuntu 12.x 上)被黑客入侵(由弱用户名/密码引起),黑客能做什么?他当然可以部署 .war 档案。
但是: 他可以访问整个文件系统吗? 他可以更改 tomcat/FTP/ubuntu 管理员密码吗? 还是根本没有限制?
【问题讨论】:
如果您谈论的是 tomcat 管理器应用程序的弱密码(您可以使用它来部署新的 Web 应用程序):那么 - 您能想象一个称为“远程文件资源管理器”的 Web 应用程序吗?还是“远程外壳”?基本上,如果您可以将代码上传到执行的服务器,几乎没有限制。
嗯,限制是由您的管理员设置的:Java(以及带有它的 Tomcat)可以在沙盒/安全管理器中运行。我实际上知道没有多少安装可以做到这一点。此外,相当多的 tomcat 安装以 root 用户身份运行 - 如果您失去对此类实例的控制,您就完蛋了。
所以您要问的问题是:“攻击者可以在我的服务器上运行任意代码是否危险?”我不想透露这一点,但答案是“是”。
对于 tomcat,我觉得管理器应用程序非常适合调试,但不是您想要部署在生产系统上的东西,对全世界都是可见的。但这只是硬化过程的一小部分。
哦,尽管它可能不完全适合这种情况,但你可能想看看 Java/Tomcat hacked,我刚刚发现这个滚动 - 一个很好的弱密码替代漏洞。
【讨论】: