Прошу прощения за этот вопрос новичка, но как новичок мне интересно:
Нет ли проблем с безопасностью, если я развертываю приложение (например, на Tomcat), и я могу получить к нему доступ через веб-интерфейс, где я могу войти в систему с именем пользователя и паролем по умолчанию? Конечно, вы должны изменить эти данные для входа, но разве не возможно, чтобы кто-то использовал время между развертыванием и изменением данных для входа (даже если это всего несколько секунд), чтобы получить контроль над приложением? Не могли злоумышленники просканировать серверы с такими приложениями и попытаться войти в систему с соответствующими данными входа по умолчанию? Я не знаю, есть ли повод для таких атак, главное, чтобы сами приложения сохранялись и вы не можете атаковать сам сервер.
Однако при установке Tomcat вы должны указать данные для входа в xml-файл, к которому вы можете получить доступ только как root, верно? Так что этот кажется безопасным в этом отношении.
Извините за вопрос новичка. Я довольно долго искал в Интернете, но не нашел конкретного ответа.
Спасибо
Я немного поспорил сам с собой, следует ли считать это «слишком широким» или «в основном основанным на мнении», но все равно решил придумать ответ.
Теоретически - если вы развертываете веб-приложение, доступное из общедоступного Интернета с комбинацией имени пользователя и пароля по умолчанию, то любой, очевидно, может войти в систему и изменить эту информацию для входа, прежде чем вы сделаете это самостоятельно.
Тем не менее, я вижу, что все больше и больше приложений запрашивают имя пользователя / пароль администратора как часть первоначального развертывания, которое затем считается безопасным.
Если вы знаете, что собираетесь развернуть приложение, использующее комбинацию имени пользователя и пароля по умолчанию, вам следует запретить доступ к серверу никому, кроме себя, до тех пор, пока у вас не будет времени установить правильный пароль.
Реально Я не думаю, что это проблема, так как для этого потребуется, чтобы сканер / хакер поразил ваш сайт в то время, когда он уязвим, что, надеюсь, не более пары минут на максимум.