我发现大部分的JSP应用程序在当前目录下都会有一个WEB-INF目录，这个目录通常存放的是JavaBeans编译后的class 文件，如果不给这个目录设置正常的权限，所有的class就会曝光。

    而采用JAD软件对下载的class文件反编译后，原始的Java文件甚至变量名都不会改变。如果网页制作者开始把数据库的用户名密码都写在了Java代码中，反编译后，说不定还能看到数据库的重要信息。那么，怎么得到这些文件呢？

    Tomcat版本的缺省“/admin”目录是很容易访问的。输入：http://202.103.*.168/admin/，管理员目录赫然在列。默认情况下，“User Name”应该是admin，“Password”应该是空，输入用户和密码后，并点击“Login”按钮，不能进入，陆续使用了几个比较常见的密码，也无济于事。

    默认情况下，Tomcat打开了目录浏览功能，而一般的管理员又很容易忽视这个问题。也就是说，当要求的资源直接映射到服务器上的一个目录时，由于在目录中缺少缺省的index.jsp等文件，Tomcat将不返回找不到资源的404错误，而是返回HTML格式的目录列表。

    想到了这点后，我打开刚才用X-Scan扫描后生成的报表文件，找到“安全漏洞及解决方案”栏目，看到了几个可能会有CGI漏洞的目录。在地址栏输入其中之一，返回结果如图1所示。