Tomcat是一款轻量级应用服务,且使用方便,解压后即可使用。在解压后的文件目录里有tomcat自带的webapp/docs和webapp/example文件夹,docs是tomcat的说明文档,example是tomcat自带的示例,可以通过http://xxxxx/docs和http://xxxxx/examples进行访问,本意是用来说明和演示tomcat的功能的。
但是最近发现有的版本的tomcat部署完成以后,这两个链接仍然可用,不太清楚是版本的原因还是部署的原因。docs是文档,所以基本不存在风险,但是examples里面有session,而tomcat的session是共享的,这使得在不需要任何权限的情况下,可以通过examples的session示例对tomcat中的session进行修改,这样的话可能会造成某人通过examples篡改session,从而获取管理员权限等问题。
所以在使用tomcat部署应用的时候,建议先备份或者直接删掉webapp/docs和webapp/example文件夹。
