Al probar un sitio web que tenía Apache Tomcat en funcionamiento, encontré un directorio llamado "Ejemplos" que contenía "Ejemplos de Servlets", "Ejemplos de JSP" y "Ejemplos de Websocket". ¿Cuáles crees que son las implicaciones de tener este directorio disponible públicamente y cuán dañino puede ser?
Esto se ha documentado en el pasado, donde los investigadores descubrieron que algunos de los ejemplos de Tomcat a la izquierda en una instalación predeterminada eran vulnerables a las vulnerabilidades. En las herramientas / programas de "evaluación / auditoría de la vulnerabilidad", muchos marcarán este directorio como de alto riesgo debido a que estas aplicaciones se quedan en un sistema después de una instalación. Un enfoque de las mejores prácticas para endurecer los sistemas es eliminar los valores predeterminados. (Los directorios predeterminados que no son necesarios, las contraseñas predeterminadas, los nombres de usuario cambian, etc.) es simplemente un vector abierto para que un atacante determine más información que se puede usar para propagar ataques.