在Apache+Tomcat的JSP服务器配置环境中,存在一个Resin漏洞,配置不好的话,通过提交畸形的URL,能够使远程获得目标主机系统中所有文件的读取权限。利用方法:假设存在该漏洞的网址URL为:http://www.xxx.com:8080/那么如果需要得到对方D盘下所有文件的浏览权限,则在浏览器地址栏中输入: http://www.xxx.com:8080/d:\ 成功利用的主机会在浏览器中返回当前目录下所有文件的文件名。其他盘符文件的浏览类推。
