JSP网站一般是通过Tomcat搭建的服务器，在许多Tomcat服务器上有一个"%00.jsp"暴露jsp路径的漏洞。假设要入侵的网站为HTTP://XX.XX.XX/goodsoft/jsp/vote.jsp ，递交请求HTTP://XX.XX.XX/goodsoft/%00.jsp，即可遍历Web下的文件目录内容。利用该漏洞，可以得到网站上所有文件信息，然后我们可以找一个上传页面之类的，欺骗上传jsp木马，通过该漏洞找到木马的真实地址。即可控制jsp服务器。 注：以上内容转载自2005.06期杂志