Уязвимость, обнаруженная в нескольких Web серверах, позволяет удаленному атакующему получить доступ к содержанию WEB-INF каталога используя измененный запрос. В WEB-INF содержатся
важные данные, типа HTML документов, JSP страниц, JAVA Servlet и т.п. Доступ к информации в этой директории через Web интерфейс запрещен. Если к запросу о документе в WEB-INF, добавить '.' после имени директории, то такой файл будет
передан пользователю. Полученная информация может использоваться в дальнейших нападениях против уязвимой системы.
Пример:
http://www.someserver.com/WEB-INF./web.xml
Уязвимость обнаружена в HP Application Server 8.0, jo! jo Webserver 1.0 rc1, Macromedia JRun 3.0-4.0, Oracle Oracle 9i Application Server 9.0.2, Orion* Orion Application Server 1.5.3, Pramati Pramati Server 3.0, Sybase Enterprise Application Server 4.0.
