Página de administração do Apache Tomcat

Eu certamente acho que é uma má ideia. Houve vários problemas de segurança encontrados no passado. Eu nunca iria executá-lo em um servidor de produção.

Em um sistema exposto, você quer minimizar a superfície de ataque e reduzir o número de coisas que você precisa assistir / corrigir vulnerabilidades conhecidas. Isso viola ambos os princípios.

Como afirmado pelo @TheFiddlerWins, é uma má ideia do ponto de vista da segurança. Quanto menos serviços expostos, menos oportunidades de comprometer o seu sistema.

Pense que existem toneladas de robôs tentando explicar os erros comuns que passam pelo seu servidor com frequência.

Gostaria apenas de expor com alguns cuidados, como:

• Restringindo o acesso apenas aos seus IPs
• Proteger com nome de usuário e senha
• Altere o PATH (algo aleatório como / djah8hueqwy7 não se preocupe se o seu navegador se lembrar facilmente)

Estamos todos de acordo em dizer que quanto menos superfície você expor, menos você estará vulnerável a ataques.

Expor amplamente uma página de administração de qualquer tipo é principalmente uma má ideia.

Expor seu aplicativo Tomcat é suficiente, não é necessário adicionar uma superfície de ataque adicional expondo sua página de administração do Tomcat!

Os ataques podem ser de múltiplos tipos e não apenas limitados a força bruta.

Você pode se expor a outros tipos como:

• Ataques man-in-the-middle
• Injeção de conteúdo mal-intencionado (XSS, SQL Injection)
• Sniff e registro de tráfego
• Sequestramento de sessão

Se você realmente deseja expor esta página, considere implementar algum mecanismo de segurança, por exemplo:

• Implementar SSL (https)
• Limitar o acesso a um número restrito de endereços IP
• Monitore o acesso à página de administração para, pelo menos, receber um e-mail / sms quando é modificado
• Registrar tudo (acesso, modificação)