概述
支持远程部署的Web服务器有很多,例如,FTP,可以直接将源码上传至服务器,然后安装。但如果远程部署配置不当,攻击者就可以通过远程部署功能入侵服务器。
通过远程部署获取WebShell并不属于代码层次的漏洞,而是属于配置性错误漏洞。就像FTP入侵那样,FTP本身没有问题,只是由于管理员配置不当,导致攻击者可以通过FTP渗透。
Tomcat
JBoss
JBoss服务默认没有密码认证策略,所以攻击者常常通过Google Hack来批量获取WebShell。为了避免这种低级的漏洞,服务器管理员必须要将JBoss的jmx-console密码认证开启,或者删除jmx-console。
WebLogic
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_39190897/article/details/86767815