jsp有漏洞？(100分)

据说JSP有漏洞，请问是什么？
怎么解决，怎么利用？

不是JSP有漏洞，是个别支持JSP的Web服务器有漏洞
www.jspcn.com里有列表

据说是把服务器路径全部都暴露出来，不知这会有什么害处

还有吗（吧）？

据说只是把jsp的源码显示出来
要看是哪种Web Server

据说http 1.1本身有个漏洞，可以找出http服务器上所有
能够访问到的文件列表，即使没有对他的连接，所以用
web方式管理服务器好像比较危险，细节不知道

我试了一下，如果把后缀名改为非jsp,
比如localhost/test.jsp改为localhost/test.JSP再用IE浏览,
就会把该文件下载下来，
从而得到了原代码。
环境nt4+tomcat3.1+jdk1.3

>>

如果是tomcat3.1的话，找到了一个土土的办法：）
把各种后缀的组合全部写到conf/web.xml里就可以了，
这样tomcat会不同的后缀名的jsp分开对待，就不会泄露代码了
<servlet-mapping>
<servlet-name>
jsp
</servlet-name>
<url-pattern>
*.jsp
</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>
Jsp
</servlet-name>
<url-pattern>
*.Jsp
</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>
JSp
</servlet-name>
<url-pattern>
*.JSp
</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>
JsP
</servlet-name>
<url-pattern>
*.JsP
</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>
JSP
</servlet-name>
<url-pattern>
*.JSP
</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>
jSp
</servlet-name>
<url-pattern>
*.jSp
</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>
jSP
</servlet-name>
<url-pattern>
*.jSP
</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>
jsP
</servlet-name>
<url-pattern>
*.jsP
</url-pattern>
</servlet-mapping>

多人接受答案了。