即使最简单的Web服务器也带有大量控制其行为的配置选项。以前发布的许多服务器含有不安全的默认选项,如果不对它们进行强化,可能会使攻击者有机可乘。
许多Web服务器包含可被公众访问的管理接口。这些接口可能位于Web根目录的某个特定位置,或者在8080或8443端口上运行。通常,管理接口使用众所周知的默认证书,这些证书在安装 时不需要进行修改。
一些最常见的管理接口的默认证书如表18-1所示。
表18-1 一些常见管理接口的默认证书
用 户 名 | 密 码 | |
---|---|---|
Apache Tomcat | admin | (无) |
tomcat | tomcat | |
root | root | |
Sun JavaServer | admin | admin |
Netscape Enterprise Server | admin | admin |
Compaq Insight Manager | administrator | administrator |
anonymous | (无) | |
user | user | |
operator | operator | |
user | public | |
Zeus | admin | (无) |
除Web服务器上的管理接口外,大量设备(如交换机、打印机与无线接入点)还使用禁止修改其默认证书的Web接口。以下资源列出了大量技术的默认证书:
www.cirt.net/passwords
www.phenoelit-us.org/dpl/dpl.html