Если вы говорите о слабом пароле для приложения диспетчера tomcat (который вы можете использовать для развертывания новых веб-приложений): Ну, можете ли вы представить себе веб-приложение под названием «удаленный файловый исследователь»? или "удаленная оболочка"? В принципе, если вы можете загружать код на серверы, которые выполняются, ограничений почти нет.
Ну, лимит установлен вашими администраторами: Java (и с ним Tomcat) может работать в изолированном программном обеспечении/безопасности. Я действительно знаю не много установок, которые это делают. Кроме того, довольно много установок tomcat запускаются как пользователь root - если вы потеряете контроль над таким экземпляром, вы получаете тост.
Итак, вопрос, который вы задаете, заключается в следующем: «Это опасно, когда злоумышленники могут запускать произвольный код на моем сервере?» Мне не нравится это раскрывать, но ответ «да».
Начиная с tomcat, я чувствую, что приложение-менеджер приятное для отладки, но не то, что вы хотите развернуть на производственной системе, видимой миру. Но это лишь очень небольшая часть процесса упрочнения.
О, и даже если это может не соответствовать этому контексту, но вы можете посмотреть на Java/Tomcat hacked, я просто нашел эту прокрутку - хорошая альтернативная уязвимость для слабого пароля.
Угроза, которую люди обычно не рассматривают, будет процессом, выполняющим UNDER tomcat. Например, если вы выполняли SOLR, они могли бы удалить весь ваш индекс SOLR и т. Д. ... Нехорошо ... – Zak