漏洞說明

攻擊人員通過目錄便利攻擊可以獲取系統檔案及伺服器的配置檔案等等。一般來說，他們利用伺服器API、檔案標準許可權進行攻擊。嚴格來說，目錄遍歷攻擊並不是一種web漏洞，而是網站設計人員的設計“漏洞”。如果web設計者設計的web內容沒有恰當的訪問控制，允許http遍歷，攻擊者就可以訪問受限的目錄，並可以在web根目錄以外執行命令。

漏洞詳情

Detail:http://某某域名/examples/servlets/servlet/SessionExample

response:{"header":"HTTP/1.1 200 

Cache-Control: private

Expires: Thu, 01 Jan 1970 08:00:00 CST

Set-Cookie: JSESSIONID=BC1A4933B035C4A66F28CA24D5CE7B03; Path=/examples; Secure; HttpOnly

Content-Type: text/html;charset=UTF-8

Content-Length: 1289

Date: Fri, 19 Jan 2018 06:30:24 GMT

"}

request:{"body":"","header":"GET /examples/servlets/servlet/SessionExample HTTP/1.1

Host: 某某域名

Connection: Keep-Alive

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36

"}

target:"http://某某域名/"

url:http://某某域名/examples/servlets/servlet/SessionExample

修復建議

禁止examples的公開訪問許可權，或者直接刪除該資料夾。

我的處理方式：直接刪除該資料夾即可