18.1 Web服务器配置缺陷

即使最简单的Web服务器也带有大量控制其行为的配置选项。以前发布的许多服务器含有不安全的默认选项,如果不对它们进行强化,可能会使攻击者有机可乘。

18.1.1 默认证书

许多Web服务器包含可被公众访问的管理接口。这些接口可能位于Web根目录的某个特定位置,或者在8080或8443端口上运行。通常,管理接口使用众所周知的默认证书,这些证书在安装 时不需要进行修改。

一些最常见的管理接口的默认证书如表18-1所示。

表18-1 一些常见管理接口的默认证书

用 户 名 密 码
Apache Tomcat admin (无)
tomcat tomcat
root root
Sun JavaServer admin admin
Netscape Enterprise Server admin admin
Compaq Insight Manager administrator administrator
anonymous (无)
user user
operator operator
user public
Zeus admin (无)

除Web服务器上的管理接口外,大量设备(如交换机、打印机与无线接入点)还使用禁止修改其默认证书的Web接口。以下资源列出了大量技术的默认证书:

img002 www.cirt.net/passwords

img002 www.phenoelit-us.org/dpl/dpl.html