0x00 相关背景介绍
通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等!
例如:Nginx+ Tomcat的分层结构(在下文中,我们也使用此例说明相关问题)
Nginx是一个高性能的 HTTP 和 反向代理 服务器 。
通常,我们是通过它来解决一些静态资源(如:图片、js及css等类型文件)访问处理。
Nginx详细介绍:http://baike.baidu.com/view/926025.htm
Tomcat服务器是一个免费的开放源代码的j2ee Web 应用服务器。
其中,它有一个比较明显的性能缺陷,那就是在处理静态资源特别是图片类型的文件特别吃力。从而能与Nginx(Ningx在处理静态资源方面性能特别优秀) 成为好基友!
Tomcat详细介绍:http://baike.baidu.com/view/10166.htm
0x01 成因
但正是由于这种处理方式或分层架构设计,如果对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题(特别是在j2ee应用中表现更为严重)!
例如:Tomcat的WEB-INF目录,每个j2ee的web应用部署文件默认包含这个目录。
WEB-INF介绍:http://baike.baidu.com/view/1745468.htm
通常情况我们是无法通过Tomcat去访问它的,Tomcat的安全规范略中,它是一个受保护的目录。
为什么受保护了?我们来看看,它里面有什么: