Apache tomcat 弱口令利用及防范

Posted 网络安全与保密

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Apache tomcat 弱口令利用及防范相关的知识,希望对你有一定的参考价值。

      Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。同时,Apache+Tomcat是常用的网站解决方案,Apache用于提供web服务,而Tomcat是Apache服务器的扩展,用于运行JSP页面和Servlet。

一、Tomcat默认配置情况

1、tomcat-users.xml

Tomcat5默认配置了两个角色:tomcat、role1。其中帐号为both、tomcat、role1的默认密码都是tomcat。不过都不具备直接部署应用的权限,默认需要有manager权限才能够直接部署war包,Tomcat5默认需要安装Administration Web Application。Tomcat6默认没有配置任何用户以及角色,没办法用默认帐号登录。 

2、context.xml

    Tomcat的上下文,一般情况下如果用Tomcat的自身的数据源多在这里配置。找到数据源即可用对应的帐号密码去连接数据库。

<Context>
    <WatchedResource>WEB-INF/web.xml</WatchedResource>
  <Resource name="jdbc/u3" auth="Container" type="javax.sql.DataSource"
        maxActive="100" maxIdle="30" maxWait="10000"
              username="xxxxx" password="xxxx" driverClassName="com.mysql.jdbc.Driver"
              url="jdbc:mysql://192.168.0.xxx:3306/xxx?autoReconnect=true"/>
< /Context>



三、tomcat 弱口令防范

       说道弱口令的防范,相信大家都不陌生,在此不累述;同时,网站管理人员要及时升级tomcat到最新版本,目前最新版本到tomcat 7 了,详情可以访问:https://tomcat.apache.org/

以上是关于Apache tomcat 弱口令利用及防范的主要内容,如果未能解决你的问题,请参考以下文章

Tomcat弱口令+后端getshell漏洞

tomcat弱口令扫描器怎么抓鸡

tomcat8+ 弱口令 && 后台getshell 漏洞复现

tomcat弱口令扫描器能在XP用吗?

tomcat弱口令+后门war包部署

什么是TELNET弱口令