一些网站由于业务需求,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等。如:www.abc.com/dowenload?filename=../../WEB-INF/web.xml
检测方法:
1)查找系统中下载功能处;
2)通过burp进行拦截请求,分析请求参数;
3)若存在文件名称之类的参数则可以使用burp中intruder功能,利用文件遍历字典进行暴破;
4)检查请求响应,若能读出服务器文件则存在漏洞
解决方法:
1.对于用户提交的文件名及下载路径应该进行严格验证,防止恶意的文件包含读取和任意文件下载2.针对下载路径,对请求中的文件名进行关键字过滤,主要防止目录回溯(如:过滤.. / \等)