Apache Tomcatpipe理页面

我当然认为这是一个坏主意。 过去发现了一些安全问题。 我永远不会在生产服务器上运行它。

在暴露的系统上，您希望最小化攻击面，并减less必须观察/修补已知漏洞的事件数量。 这违反了这两个原则。

正如@ TheFiddlerWins所说，从安全的angular度来看，这是一个坏主意。 服务越less，妥协系统的机会越小。

想想看，有很多机器人只是试图通过你的服务器频繁地传播常见的错误。

我只会暴露一些警告，如：

• 限制只能访问您的IP
• 用用户名和密码保护
• 改变PATH（像/ djah8hueqwy7随机的东西不要担心你的浏览器会很容易记住）

我们都同意在这里说，你暴露的表面越less，你就越容易受到攻击。

广泛暴露一个任何forms的pipe理页面主要是一个坏主意。

公开你的Tomcat应用程序就足够了，不需要添加额外的攻击面，暴露你的Tomcatpipe理页面！

攻击可以是多种types，不仅限于暴力。

你可以暴露自己的其他types，如：

• 中间人攻击
• 恶意内容注入（XSS，SQL注入）
• 嗅和交通logging
• 会话劫持

如果你真的想要公开这个页面，你可以考虑实现一些安全机制，例如：

• 实施SSL（https）
• 限制访问限制数量的IP地址
• 监控对pipe理页面的访问，至less在修改时会收到电子邮件/短信
• logging一切（访问，修改）