톰캣 매니저
400
投稿した質問数 1
제가 돌리고 있는 메일서버를 점검하기 위해서 강의를 듣고 있는중입니다.
저의 경우 톰캣을 사용하고 있는데, 내부 호스트(127.0.0.1) 에서만 매니저 접근이 가능하고 , 그 외 내부 망(192.168.~.~/manager/html) 은 403 에러로 접근 권한에러가 뜹니다.
보통 톰캣매니저를 이용해서 공격을 하는거면 최소 내부망을 접근한 상태일 텐데, 실제 호스트 피시만 접속을 허용하고 나머지는 접속을 차단하는 형태로 configuration 을 하죠? (저의 경우는 따로 설정을 하지 않았는데도 기본적으로 그렇게 적용되어 있네요)
다른 호스트에서 접근할때는 403 에러가 발생하기 때문에 이 공격 방법은 사용하기가 많이 어렵다고 판단이 내려지는데 제가 생각하는게 맞을까요?
回答 1
0
안녕하세요.
많은 톰캣 매니저에 대한 이슈들로 인해
로컬 호스트 접속만 가능하도록 제한이 기본 설정으로 되어서 배포되고 있습니다.
정확한 기간은 모르겠으나, 이러한 설정에 대한 적용은 아마도 오래되지 않은 듯으로 보이네요.
그러나, 실 환경에서는 톰캣 매니저와 같은 관리자 콘솔은 서버 로컬 접속이 아닌 원격 접속이 가능하도록 설정을 변경해 사용을 많이 하게 됩니다.
그 이유는 서버의 경우 원격지에 있으며 직접 붙을 수 없기 때문입니다.(물론 기술적으론 가능은 하나 번거로움)
때문에 로컬 접속 이외 내부 네트워크 대역대 혹은 특정 ip 혹은 모든 호스트를 허용하게 됩니다.
톰캣 매니저를 통한 WAR 디플로이 실습에서 궁금한 점이 있습니다
1
424
1
APM 설치 환경 질문드립니다.
1
387
1
안녕하세요 포트관련 질문 드립니다!
1
281
1
안녕하세요 질문이 있습니다!
1
298
1
안녕하세요 질문이 있습니다
1
237
1
img_upload1 이미지 파일 업로드 오류(해결O)
1
632
1
bitnami 사용중인데 널바이트 입력 시 fatal error가 발생합니다
1
386
1
인코딩, cmd 파라미터 오류
2
346
1
jsp 업로드 기능 실행 시 오류가 발생합니다
1
781
1
upload_prob10 에러 문제
0
253
0
업로드 경로가 이미지 or 파일서버일 경우 문의드립니다!
1
307
1
system.getProperty("os.name").toLowerCase() 실행이 안됨
1
369
1
IIS 세미콜론 취약점 대응방안
1
253
1
jsp 환경에서도 널바이트 공격이 가능한가요?
2
342
1
수업내용대로 진행했는데 적용이 안됩니다.
1
244
1
강의 내용 질문드립니다. (파일업로드 공격대상 탐색CASE(2)강의)
1
220
1
[실습4-14] 이미지 검증 우회 실습(2)
1
453
1
%00 사용하면 오류 발생
1
555
1
JSP 한글 깨짐
1
652
1
upload_prob10 설정 문제
1
865
1
system() 함수 결과값 한글 깨짐 현상
1
359
1
JSP 오류 뜹니다.
2
5147
2
선생님 ㅠㅠ 안됩니다.
1
3083
1
안녕하세요
2
197
1