문제
파라미터를 사용하여 특정 파일을 데코레이터로 사용.
해당 파일의 내용이 노출됨.
Ex) /WEB-INF/web.xml 의 내용이 노출되는 경우
http://domain/?confirm=true&decorator=%2FWEB-INF%2Fweb.xml
해결 방안
sitemesh.xml 에서 아래 설정을 제거한다. (사용여부 확인 필)
<mapper class="com.opensymphony.module.sitemesh.mapper.FileDecoratorMapper">
</mapper>
댓글 없음:
댓글 쓰기