由Tomcat 8005端口想到的...
在阅读“tomcat启动分析” 的时候注意到server.xml配置文件有这么一行:
从配置大致可以判断这个端口大致适用于关闭tomcat。于是乎telnet 到8005端口然后执行“SHUTDOWN”(区分大小写),此时也可看到tomcat后台在解析telnet上来的命令,然后果然tomcat被关闭了。
一个不起眼的配置尽然可以不用验证直接关闭tomcat,如果不注意修改默认配置的话就是个安全漏洞啊。
所以尽量把端口或者shutdown的命令修改掉。
分享几篇tomcat的好文章:
Tomcat配置的几个安全问题 :http://blog.csdn.net/tangyu477/archive/2010/02/02/5281477.aspx
TOMCAT源码分析(消息处理) :http://blog.csdn.net/ThomasHuang/archive/2004/05/21/22394.aspx
TOMCAT源码分析(启动框架) :http://blog.csdn.net/ThomasHuang/archive/2004/06/07/22393.aspx
1 楼 lakemove 2011-08-31 TOMCAT限制了"SHUTDOWN"命令仅能来自本地请求(localhost). 从这方面稍微做了些限制