目录遍历（任意文件下载）

漏洞描述:目录遍历（任意文件下载〉漏洞不同于网站目录浏览，此漏洞不仅仅可遍历系统下web中的文件，而且可以浏览或者下载到系统中的文件，攻击人员通过目录遍历攻击可以获取系统文件及服务器的配置文件等等。一般来说，他们利用服务器API、文件标准权限进行攻击。严格来说，目录遍历攻击并不是一种web漏洞，而是网站设计人员的设计“漏洞”。

测试地址/模块
测试方法
1、通过web漏洞扫描工具对网站实施扫描可能发现目录遍历或者任意文件下载漏洞，发送一系列"../"字符来遍历高层目录，并且尝试找到系统的配置文件或者系统中存在的敏感文件，linux尝试读取/etc/passwd，windows尝试读取C:\Windows\win.ini

判断windows系统还是linux系统的方法：linux系统大小写敏感，windows系统大小写不敏感
2、也可通过判断网站语言，并根据其url中部分提供的参数，进行构造相关的路径信息，如收集到网站中间件版本为apache，则想办法构造../../../ WEB-INF/web.xml等，然后查看其是否可被下载出来。随后可构造下载系统文件。
3、代码可能已经对下载文件的后缀做了限制，即已经在代码固定了可以下载的文件后缀名，这时可以测试是否可以使用截断符号%00对后缀名进行，从而下载任意文件。

风险分析/解决方法 

风险分析：如果web设计者设计的web内容没有恰当的访问控制，允许http遍历，攻击者就可以访问受限的目录，并可以在web根目录以外执行命令。

解决方法：

1. 对用户的输入进行验证，特别是路径替代字符如“…/”和“~/”；
2. 获取文件路径，过滤文件路径参数，如…/ 、 …\ 、 ./ 等跳转路径；
3. 尽可能采用白名单的形式，验证所有的输入；
4. 对文件后缀白名单校验；
5. 图片类型 .jpg .png .gif .jpeg .dwg
6. 文档类型 .doc .docx .ppt .pptx .xls .xlsx .pdf
7. 合理配置Web服务器的目录权限；
8. 当程序出错时，不要显示内部相关配置细节；
9. 对用户传过来的文件名参数进行统一编码，对包含恶意字符或者空字符的参数进行拒绝；
10. 对上传文件校验文件大小；
11. 对上传文件重命名；
12. 获取文件路径，判断是否在预期目录；
13. 对客户端不直接暴露路径，使用文件ID代替文件名和文件路径。