前段時間，網絡上突然冒出了許多Tomcat服務器攻擊工具，Tomcat出了什么新漏洞嗎?其實這些工具，不過是利用了Tomcat服務器配置不當的空密碼漏洞而已。不過小菜們可能連Tomcat都沒有聽說過，對攻擊Tomcat更是一無所知了，因此這些攻擊工具也是可望而不可即。不過好在傻瓜化的工具很快就被高手們發(fā)布出來，今天我就帶領小菜們也來一場Tomcat入侵之旅……

Tomcat服務器漏洞簡介

Tomcat服務器是一個免費的開放源代碼的Web應用服務器程序，與常見的IIS服務器不同，Tomcat服務器可支持JSP網頁程序，是搭建JSP網站的首選程序。Tomcat服務器是使用內置的“Tomcat Web Applicatlon Manager”程序進行服務管理(如圖1)，這個程序是一個頁面程序，默認通過8080端口訪問，并需要進行登錄驗證才可進行管理。但是由于Tomcat服務器的安全問題并未得到重視，許多網站管理員往往使用空/弱口令或默認的登錄密碼，從而導致了漏洞的出現(xiàn)。我們就可利用猜解破解密碼，登錄并上傳木馬，從而控制整個服務器。

“注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”。