Apache tomcat 弱口令利用及防范
Posted 网络安全与保密
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Apache tomcat 弱口令利用及防范相关的知识,希望对你有一定的参考价值。
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。同时,Apache+Tomcat是常用的网站解决方案,Apache用于提供web服务,而Tomcat是Apache服务器的扩展,用于运行JSP页面和Servlet。
一、Tomcat默认配置情况
1、tomcat-users.xml
Tomcat5默认配置了两个角色:tomcat、role1。其中帐号为both、tomcat、role1的默认密码都是tomcat。不过都不具备直接部署应用的权限,默认需要有manager权限才能够直接部署war包,Tomcat5默认需要安装Administration Web Application。Tomcat6默认没有配置任何用户以及角色,没办法用默认帐号登录。
2、context.xml
Tomcat的上下文,一般情况下如果用Tomcat的自身的数据源多在这里配置。找到数据源即可用对应的帐号密码去连接数据库。
<Context>
<WatchedResource>WEB-INF/web.xml</WatchedResource>
<Resource name="jdbc/u3" auth="Container" type="javax.sql.DataSource"
maxActive="100" maxIdle="30" maxWait="10000"
username="xxxxx" password="xxxx" driverClassName="com.mysql.jdbc.Driver"
url="jdbc:mysql://192.168.0.xxx:3306/xxx?autoReconnect=true"/>
< /Context>
三、tomcat 弱口令防范
说道弱口令的防范,相信大家都不陌生,在此不累述;同时,网站管理人员要及时升级tomcat到最新版本,目前最新版本到tomcat 7 了,详情可以访问:https://tomcat.apache.org/
以上是关于Apache tomcat 弱口令利用及防范的主要内容,如果未能解决你的问题,请参考以下文章