가장 중요한 파일은 WEB-INF/web.xml로, 배포 설명서로 알려져 있습니다. 이 파일은 애플리케이션에서 사용되는 경로에 대한 정보와 이러한 경로를 처리하는 클래스들을 저장합니다.
애플리케이션에서 사용되는 모든 컴파일된 클래스는 WEB-INF/classes 폴더에 저장되어야 합니다. 이 클래스들은 중요한 비즈니스 로직과 민감한 정보를 포함할 수 있습니다. 이러한 파일의 취약점은 웹사이트의 완전한 손상으로 이어질 수 있습니다. lib 폴더는 해당 애플리케이션에 필요한 라이브러리를 저장합니다. jsp 폴더는 Jakarta Server Pages (JSP), 이전에 JavaServer Pages로 알려졌던 파일을 저장하며, 이는 Apache 서버의 PHP 파일과 비교할 수 있습니다.
여기 web.xml 파일의 예가 있습니다.
<?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app><servlet><servlet-name>AdminServlet</servlet-name><servlet-class>com.inlanefreight.api.AdminServlet</servlet-class></servlet><servlet-mapping><servlet-name>AdminServlet</servlet-name><url-pattern>/admin</url-pattern></servlet-mapping></web-app>
The web.xml 구성은 **AdminServlet**이라는 새 서블릿을 정의하며, 이는 com.inlanefreight.api.AdminServlet 클래스에 매핑됩니다. Java는 점 표기법을 사용하여 패키지 이름을 생성하므로, 위에서 정의된 클래스의 디스크 경로는 다음과 같습니다:
classes/com/inlanefreight/api/AdminServlet.class
다음으로, **/admin에 대한 요청을 AdminServlet**으로 매핑하는 새로운 서블릿 매핑이 생성됩니다. 이 구성은 **/admin**에 대해 수신된 모든 요청을 처리하기 위해 AdminServlet.class 클래스에 전송합니다. web.xml 설명자는 많은 민감한 정보를 포함하고 있으며, Local File Inclusion (LFI) 취약점을 활용할 때 확인해야 할 중요한 파일입니다.
tomcat-users
tomcat-users.xml 파일은 /manager 및 host-manager 관리 페이지에 대한 접근을 허용하거나 허용하지 않기 위해 사용됩니다.
<?xml version="1.0" encoding="UTF-8"?><SNIP><tomcat-usersxmlns="http://tomcat.apache.org/xml"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"version="1.0"><!--By default, no user is included in the "manager-gui" role requiredto operate the "/manager/html" web application. If you wish to use this app,you must define such a user - the username and password are arbitrary.Built-in Tomcat manager roles:- manager-gui - allows access to the HTML GUI and the status pages- manager-script - allows access to the HTTP API and the status pages- manager-jmx - allows access to the JMX proxy and the status pages- manager-status - allows access to the status pages onlyThe users below are wrapped in a comment and are therefore ignored. If youwish to configure one or more of these users for use with the manager webapplication, do not forget to remove the <!.. ..> that surrounds them. Youwill also need to set the passwords to something appropriate.--><SNIP>!-- user manager can access only manager section --><rolerolename="manager-gui" /><userusername="tomcat"password="tomcat"roles="manager-gui" /><!-- user admin can access manager and admin section both --><rolerolename="admin-gui" /><userusername="admin"password="admin"roles="manager-gui,admin-gui" /></tomcat-users>
파일은 manager-gui, manager-script, manager-jmx, 및 manager-status 각 역할이 제공하는 접근 권한을 보여줍니다. 이 예제에서는 비밀번호 tomcat을 가진 사용자 tomcat이 manager-gui 역할을 가지고 있으며, 사용자 계정 admin에 대해 두 번째 약한 비밀번호 admin이 설정되어 있음을 볼 수 있습니다.
