Bruteforce Manager
Apache Tomcat expose souvent une interface /manager/html ou /host-manager/html protégée par Basic Auth. Une fois les credentials trouvés (souvent des défauts comme tomcat:tomcat ou admin:admin), il devient possible de déployer un WAR malveillant et obtenir une RCE.
Bruteforce: