一、任意文件读取漏洞

任意文件读取是属于文件操作漏洞的一种，一般任意文件读取漏洞可以读取配置信息甚至系统重要文件。其中的目录遍历是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件(可以是web根目录以外的文件)，甚至执行系统命令。更严重的，导致SSRF漏洞，进而漫游至内。

可以利用web漏洞扫描器（御剑等）扫描web应用进行检测，也可通过搜索，站标题包含 “index of” 关键词的站进行访问，手工探测等。

攻击者通过访问站某一目录时，该目录没有默认首页文件或没有正确设置默认首页文件，将会把整个目录结构列出来，将站结构完全暴露给攻击者；攻击者可能通过浏览目录结构，访问到某些隐秘文件（如PHPINFO文件、服务器探针文件、站管理员后台访问地址、数据库连接文件等）。简要来说就是老家被偷了。