复现环境 centos7 docker vulhub(git) 复现过程 进入/root/vulhub/nginx/insecure-configuration目录 输入docker compose up -d 开启容器 访问下files 在files后面加上..可穿越到上级目录 导致漏洞的原因,url上/files没有加后缀/,而alias设置的/home/是有后缀/的,这个/就导致我们可以从/home/目录穿越到他的上层目录 防御方法 location 和 alias 的值要不都加/ 要不都加 统一即可