Если Tomcat7 (на Ubuntu 12.x) взломан (вызвано слабым именем пользователя/паролем), что может сделать хакер? Конечно, он может развернуть архивы .war.В чем опасность взлома сервера Apache Tomcat?
Но: Может ли он получить доступ к полной файловой системе? Может ли он изменить пароли tomcat/FTP/ubuntu admin? Или нет никаких ограничений?
Если вы говорите о слабом пароле для приложения диспетчера tomcat (который вы можете использовать для развертывания новых веб-приложений): Ну, можете ли вы представить себе веб-приложение под названием «удаленный файловый исследователь»? или "удаленная оболочка"? В принципе, если вы можете загружать код на серверы, которые выполняются, ограничений почти нет.
Ну, лимит установлен вашими администраторами: Java (и с ним Tomcat) может работать в изолированном программном обеспечении/безопасности. Я действительно знаю не много установок, которые это делают. Кроме того, довольно много установок tomcat запускаются как пользователь root - если вы потеряете контроль над таким экземпляром, вы получаете тост.
Итак, вопрос, который вы задаете, заключается в следующем: «Это опасно, когда злоумышленники могут запускать произвольный код на моем сервере?» Мне не нравится это раскрывать, но ответ «да».
Начиная с tomcat, я чувствую, что приложение-менеджер приятное для отладки, но не то, что вы хотите развернуть на производственной системе, видимой миру. Но это лишь очень небольшая часть процесса упрочнения.
О, и даже если это может не соответствовать этому контексту, но вы можете посмотреть на Java/Tomcat hacked, я просто нашел эту прокрутку - хорошая альтернативная уязвимость для слабого пароля.
Угроза, которую люди обычно не рассматривают, будет процессом, выполняющим UNDER tomcat. Например, если вы выполняли SOLR, они могли бы удалить весь ваш индекс SOLR и т. Д. ... Нехорошо ... – Zak