Tomcat远程命令执行

版权声明:欢迎转载,但是看在我辛勤劳动的份上,请注明来源:坦GA的博客(未经允许严禁用于商业用途,违者将追究法律责任!)。文中如有错误,欢迎批评指正,谢谢。 https://blog.csdn.net/tanga842428/article/details/82735629

Apache Tomcat与jBoss一样,默认也会运行在8080端口。它提供的Tomcat Manager的作用与JMX-Console类似,管理员也可以在Tomcat Manager中部署War包。

 

Tomcat Manager部署War包需要有Manager权限,而这一权限是在配置文件中定义的。

cat tomcat-users.xml

 

需要由管理员修改此文件,定义出manager角色:

<user username="manager" password="!@xxx" roles="manager"/>

 

但是,像下面这种配置,就存在安全隐患了:

<?xml version='1.0' encoding='uft-8'?>

<tomcat-users>

<role rolename="tomcat">

<role rolename="manager">

<user username="tomcat" password="tomcat" roles="tomcat,manager">

</tomcat-users>

它直接将tomcat用户添加为manager角色,而tomcat用户的密码很可能是一个默认密码。这种配置违背了“最小权限原则”。

 

阅读更多

没有更多推荐了,返回首页