?? 今天真倒霉，學員通過Tomcat黑了我的計算機!
?? 下面先說說怎么被黑的過程吧！我昨天講解在Servlet程序中如何讀寫資源時，講到了如果一個Servlet或JSP程序能夠讀寫當前計算機上的任意目錄的話，那么采用Tomcat對外出租虛擬主機時，就會出現(xiàn)安全問題，因為別人上傳的Servlet/JSP程序可以瀏覽服務器上的所有目錄和修改服務器上的文件。我安排學員們自己做做這個實驗看看，沒想到，第二天上課后不久，我的計算上就彈出了“計算機即將被關閉”的通知消息窗口，一些同學隨之開始哈哈大笑，我知道被他們黑了，便問了整個被黑的過程。

? 原來，一些同學昨晚被馮偉立（大二輟學）給黑了，今天反過來拿我的計算機開練！
? 原理如下：使用tomcat自帶的管理程序（Manager）可以遠程管理Tomcat服務器上的所有WEB應用程序，包括創(chuàng)建和發(fā)布新的WEB應用程序。我在講解Tomcat的Manager程序時，講解了如何配置tomcat的安全帳戶，馮偉立記住了我課堂演示時的tomcat管理帳號（我當時也真沒想到這個管理帳號成了安全后門），他通過這個管理帳號就可將他的WEB應用程序部署到我的Tomcat服務器中。我以前也給學員們交過一些安全方面的知識，并提醒學員們時刻保持注意，當我昨天提醒大家Servlet程序可以讀寫當前計算機上的任意目錄是個安全問題時，馮偉立便想到了通過Servlet來啟動Windows的一個進程試試，當他利用晚上自習的時間嘗試成功后，就拿幾個同學的計算機試了試身手，因為大家都使用tomcat默認的管理帳號，所以，很容易進入。當同學們搞清楚怎么回事后，等我今天上課時，就給我開了開玩笑，他們讓一個Servlet執(zhí)行“shutdown -t 60”命令進行延時關機，接著又讓另一個Servlet執(zhí)行“shutdown -a”命令取消關機，把我作弄了一把。
? 雖然計算機被黑了，但是我沒有生氣，反而有點高興！為啥？我為有這么優(yōu)秀的學員高興啊，他們聰明、愛思考、能吃苦，以后一定會有出息的。呵呵，每次一想起我這批學員，我內心總是忍不住泛起一陣喜悅之情。得天下之英才而育之，是人生一大幸事，我雖沒有育天下英才的才華，天下英才也不會為我而來，但就目前培訓班的學員，我教他們的感覺真的很爽、很舒服，我們教授的東西，他們基本上都能很快能學會，不僅如此，他們還能在我們講解內容的基礎上做出一些讓我很受啟發(fā)的研究。這么多優(yōu)秀的學員聚在一起，他們相互之間就能學到不少知識，置身于這樣的環(huán)境，受到這些優(yōu)秀學員的影響，基礎稍差的學員受益更是非淺。
?

如何通過tomcat入侵遠程計算機系統(tǒng)