Login
Web 應用程序的預設登錄資訊不安全?
對於這個新手問題,我很抱歉,但是作為初學者,我想知道:
如果我部署應用程序(例如在 Tomcat 上)並且我可以通過 Web 界面訪問它,我可以使用預設使用者名和密碼登錄,是否存在安全問題?當然,您必須更改登錄數據,但是是否有人使用部署和更改登錄數據之間的時間(即使只有幾秒鐘)來控制應用程序?攻擊者不能掃描具有此類應用程序的伺服器並嘗試使用相應的預設登錄數據登錄嗎?我不知道這種攻擊是否有動機,只要應用程序本身被保存並且您不能攻擊伺服器本身。
但是,在安裝 Tomcat 時,您必須在 xml 文件中指定登錄數據,您只能以 root 身份訪問,對吧?所以這個在這方面似乎是安全的。
抱歉這個新手問題。我在網上搜尋了很長時間,但沒有找到具體的答案。
謝謝
我與自己進行了一些辯論,是否應該將其關閉為“過於寬泛”或“主要基於意見”,但還是決定提出一個答案。
理論上- 如果您部署一個可從公共網際網路訪問的 Web 應用程序,並使用預設的使用者名/密碼組合,那麼顯然任何人都可以在您自己操作之前登錄並更改該登錄資訊。
但是,我看到越來越多的應用程序要求提供管理員使用者名/密碼作為初始部署的一部分,這將被認為是安全的。
如果您知道要部署一個使用預設使用者名/密碼組合的應用程序,您應該阻止除您自己以外的任何人訪問伺服器,直到您有時間設置正確的密碼。
實際上,我認為這不是問題,因為它需要掃描器/黑客在您的網站易受攻擊時攻擊您的網站,希望最多不超過幾分鐘