好的,那么第二个问题首先出现:
区分大小写本身并不是安全风险。根据另一个答案中的注释,问题似乎在于它可能绕过具有特定名称/大小写的目录(特别是)WEB- INF
(可能包含敏感代码或配置文件)上的安全约束。
如果您尝试访问domain.com/WEB-INF,则Tomcat将阻止该访问,同时将domain.com/Web- Inf视为不同,并且可能不会阻止该访问(我尚未实际测试过是否是这种情况) 。
但是,这并不是真正的问题,因为Railo不需要您在webroot内拥有WEB-INF目录- 您可以将Railo配置为指向其他位置,如果该位置不在webroot内,则可以解决此问题。
(免责声明:这是基于可用的信息;它可能不止于此,但是您有责任对任何可公开访问的网站执行安全扫描/渗透测试。)
这里有很多选择…