1.文件下载漏洞存在的位置

文件经过php处理可能存在文件下载漏洞，配合目录遍历漏洞使用

2.目录遍历漏洞检验方法

测试是否存在目录遍历漏洞：在网站网址中间添加随意写一个文件名+../（返回上一级）进行测试，没有报错就存在目录遍历漏洞。

3.linux存在的固定文件

“../../../../../../../etc/passwd“ 或者”../../../../boot.ini“，

4.数据包分析目录遍历漏洞

5.绕过方式

(1) 加密参数传递的数据；

在Web应用程序对文件名进行加密之后再提交，
比如：“downfile.jsp?filename= ZXRjL3Bhc3N3b3Jk- “，
在参数filename用的是Base64加密，

而攻击者要想绕过，只需简单的将文件名加密后再附加提交即可。

(2) 编码绕过，

尝试使用不同的编码转换进行过滤性的绕过，
比如Url编码，
通过对参数进行Url编码提交，
“downfile.jsp?filename= %66%61%6E%2E%70%64%66“来绕过。

(3) 目录限定绕过；

在有些Web应用程序是通过限定目录权限来分离的。
当然这样的方法不值得可取的，
攻击者可以通过某些特殊的符号
“ ~ “来绕过。
形如这样的提交“downfile.jsp?filename=~/…/boot”。
能过这样一个符号，就可以直接跳转到硬盘目录下了。

(4) 绕过文件后缀过滤；

一些Web应用程序在读取文件前，
会对提交的文件后缀进行检测，
攻击者可以在文件名后放一个空字节的编码，
来绕过这样的文件类型的检查。

例如：…/…/…/…/boot.ini%00.jpg，
Web应用程序使用的Api会允许字符串中包含空字符，
当实际获取文件名时，则由系统的Api会直接截短，而解析为“…/…/…/…/boot.ini”。
在类Unix的系统中也可以使用Url编码的换行符，
例如：…/…/…/etc/passwd%0a.jpg
如果文件系统在获取含有换行符的文件名，会截短为文件名。
也可以尝试%20，例如: …/…/…/index.jsp%20

(5) 绕过来路验证。
Http Referer : HTTP Referer是header的一部分，
当浏览器向web服务器发送请求的时候，一般会带上Referer，
告诉服务器我是从哪个页面链接过来的

6.预防

(1) 数据净化，对网站用户提交过来的文件名进行硬编码或者统一编码，对文件后缀进行白名单控制，对包含了恶意的符号或者空字节进行拒绝。

(2) Web应用程序可以使用chrooted环境访问包含被访问文件的目录，或者使用绝对路径+参数来控制访问目录，使其即使是越权或者跨越目录也是在指定的目录下。