很多java报错在我们渗透的时候经常会被发现,但由于没什么用,危害比较低被忽略,开发也很不愿意修改. 但从纵深防御的角度来说,多个小问题的结合就会产生严重的问题.此次遇到的一个ctf题就是一个例子. 题目来自 [RoarCTF 2019]Easy Java 进入题目后就是一个登录页面 一顿爆破得到用户名/密码 admin/admin888 然而非常失望,这思路根本不对 点击help看看 发现了一个java.io的报错,从报错和url上看非常像读取文件,这里就想到了任意文件读取,但是按理说应该有…