常见基础漏洞（三）
常见web类漏洞
1、WEB中间件
（1）Tomcat
Tomcat是Apache Jakarta软件组织的一个子项目，Tomcat是一个JSP/Servlet容器，它是在SUN公司的JSWDK（Java Server Web Development Kit）基础上发展起来的一个JSP和Servlet规范的标准实现，使用Tomcat可以体验JSP和Servlet的最新规范。

端口号：8080
攻击方法：
*默认口令、弱口令，爆破，tomcat5 默认有两个角色：tomcat和role1。

其中账号both、tomcat、role1的默认密码都是tomcat。

弱口令一般存在5以下的版本中。

*在管理后台部署war 后门文件
*远程代码执行漏洞
（2）Jboss
是一个运行EJB的J2EE应用服务器。

它是开放源代码的项目，遵循最新的J2EE规范。

从JBoss项目开始至今，它已经从一个EJB容器发展成为一个基于的J2EE 的一个Web 操作系统（operating system for web），它体现了J2EE 规范中最新的技术。

端口：8080
攻击方法：
*弱口令，爆破
*管理后台部署war 后门
*反序列化
*远程代码执行
（3）WebLogic
WebLogic是美国Oracle公司出品的一个Application Server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

端口：7001，7002
攻击方法：。