发现Tomcat5.0.19 windows版的严重安全问题!

系统环境:winxp
tomcat5.0.19
随便写一个jsp文件,放到服务的目录下。然后大写文件扩展名访问该文件。文件名.JSP,然后点击浏览器的转到。jsp文件的源码全部出来。

平时为了开发方便在自己机器上安装了一套jsp环境。无意中发现了这个问题,在linux下测试没发现有这类问题。

我的MSN:fightplane@hotmail.com。希望和喜欢java和web开发的朋友多多交流;)

设计者的愚蠢而已,没有考虑到不同平台的特性。Linux是大小写区分的,而Windows不区分大小写,tomcat只考虑了处理小写jsp的情况,却没考虑到处理大写jsp的情况。

其实各种JSP服务器的漏洞和IIS一样可笑。tomcat 3.1就已经有这个倒霉的问题乐。

我@winxp]成功
不知有]有其他人也@!?


koji