Ho trovato una vulnerabilità in un'applicazione sun java in cui il file web.xml è pubblicamente visualizzabile poiché l'applicazione non utilizza alcun .htaccess né web.config.
Non so come restringere. Ho provato con i permessi dei file, ma quando rimuovo i permessi di lettura l'intera applicazione smette di funzionare.
Ho cercato su Google e ho scoperto che è possibile utilizzare i vincoli di sicurezza sulla mappatura servlet, ma lo sviluppatore dice che è per weblogic. L'applicazione java sys è distribuita su win 2008.
Ci sono altre soluzioni?