Apache Tomcat-Verwaltungsseite

Question 1

Ich halte das auf jeden Fall für eine schlechte Idee. In der Vergangenheit wurden mehrere Sicherheitsprobleme damit festgestellt. Ich würde es nie auf einem Produktionsserver ausführen.

Auf einem exponierten System möchten Sie die Angriffsfläche minimieren und die Anzahl der Dinge reduzieren, die Sie im Hinblick auf bekannte Schwachstellen beobachten/patchen müssen. Dies verstößt gegen beide Prinzipien.

Answer

Ich halte das auf jeden Fall für eine schlechte Idee. In der Vergangenheit wurden mehrere Sicherheitsprobleme damit festgestellt. Ich würde es nie auf einem Produktionsserver ausführen.

Auf einem exponierten System möchten Sie die Angriffsfläche minimieren und die Anzahl der Dinge reduzieren, die Sie im Hinblick auf bekannte Schwachstellen beobachten/patchen müssen. Dies verstößt gegen beide Prinzipien.

Question 2

Wie @TheFiddlerWins sagt, ist das aus Sicherheitsgründen keine gute Idee. Je weniger Dienste verfügbar sind, desto geringer sind die Möglichkeiten, Ihr System zu kompromittieren.

Bedenken Sie, dass es unzählige Roboter gibt, die nur versuchen, häufig auftretende Fehler auszunutzen, die auf Ihrem Server kursieren.

Ich würde es nur mit ein paar Vorsichtsmaßnahmen offenlegen, wie:

Beschränken Sie den Zugriff nur auf Ihre IPs
Mit Benutzername und Passwort schützen
Ändern Sie den Pfad (etwas Zufälliges wie /djah8hueqwy7, keine Sorge, Ihr Browser wird sich das problemlos merken)

Answer

Wie @TheFiddlerWins sagt, ist das aus Sicherheitsgründen keine gute Idee. Je weniger Dienste verfügbar sind, desto geringer sind die Möglichkeiten, Ihr System zu kompromittieren.

Bedenken Sie, dass es unzählige Roboter gibt, die nur versuchen, häufig auftretende Fehler auszunutzen, die auf Ihrem Server kursieren.

Ich würde es nur mit ein paar Vorsichtsmaßnahmen offenlegen, wie:

Beschränken Sie den Zugriff nur auf Ihre IPs
Mit Benutzername und Passwort schützen
Ändern Sie den Pfad (etwas Zufälliges wie /djah8hueqwy7, keine Sorge, Ihr Browser wird sich das problemlos merken)

Question 3

Wir sind uns alle einig: Je weniger Oberfläche man preisgibt, desto weniger ist man für Angriffe anfällig.

Eine Admin-Seite jeglicher Art weithin zugänglich zu machen, ist grundsätzlich keine gute Idee.

Es reicht aus, Ihre Tomcat-App offenzulegen. Sie müssen keine zusätzliche Angriffsfläche schaffen, indem Sie Ihre Tomcat-Admin-Seite offenlegen!

Angriffe können vielfältiger Art sein und sind nicht nur auf rohe Gewalt beschränkt.

Sie könnten sich anderen Typen aussetzen wie:

Man-in-the-Middle-Angriffe
Einschleusung bösartiger Inhalte (XSS, SQL-Injection)
Sniff- und Verkehrsaufzeichnung
Sitzungsentführung

Wenn Sie diese Seite wirklich verfügbar machen möchten, sollten Sie die Implementierung eines Sicherheitsmechanismus in Erwägung ziehen, z. B.:

SSL (https) implementieren
Beschränken Sie den Zugriff auf eine begrenzte Anzahl von IP-Adressen
Überwachen Sie den Zugriff auf die Admin-Seite, um zumindest eine E-Mail/SMS zu erhalten, wenn sie geändert wird
Alles protokollieren (Zugriff, Änderung)

Answer

Wir sind uns alle einig: Je weniger Oberfläche man preisgibt, desto weniger ist man für Angriffe anfällig.

Eine Admin-Seite jeglicher Art weithin zugänglich zu machen, ist grundsätzlich keine gute Idee.

Es reicht aus, Ihre Tomcat-App offenzulegen. Sie müssen keine zusätzliche Angriffsfläche schaffen, indem Sie Ihre Tomcat-Admin-Seite offenlegen!

Angriffe können vielfältiger Art sein und sind nicht nur auf rohe Gewalt beschränkt.

Sie könnten sich anderen Typen aussetzen wie:

Man-in-the-Middle-Angriffe
Einschleusung bösartiger Inhalte (XSS, SQL-Injection)
Sniff- und Verkehrsaufzeichnung
Sitzungsentführung

Wenn Sie diese Seite wirklich verfügbar machen möchten, sollten Sie die Implementierung eines Sicherheitsmechanismus in Erwägung ziehen, z. B.:

SSL (https) implementieren
Beschränken Sie den Zugriff auf eine begrenzte Anzahl von IP-Adressen
Überwachen Sie den Zugriff auf die Admin-Seite, um zumindest eine E-Mail/SMS zu erhalten, wenn sie geändert wird
Alles protokollieren (Zugriff, Änderung)

Apache Tomcat-Verwaltungsseite

Antwort1

Antwort2

Antwort3

verwandte Informationen