知识点：
1、WEB攻防-文件下载&读取&删除-功能点&URL
2、WEB攻防-目录遍历&穿越-功能点&URL

黑盒分析：
1、功能点
文件上传，文件下载，文件删除，文件管理器等地方
2、URL特征
文件名：
download，down，readfile，read，del，dir，path，src，Lang等
参数名：
file、path、data、filepath、readfile、data、url、realpath等白盒分析：
上传类，删除类，下载类，目录操作函数，读取查看方法或函数等

一、演示案例-WEB攻防-文件下载&读取&删除

1、下载=读取

常规下载URL：http://www.xiaodi8.com/upload/123.pdf
可能存在安全隐患的URL：http://www.xiaodi8.com/xx.xx?file=123.pdf
利用：常规下载敏感文件（数据库配置(优先找)，中间件配置，系统密匙等文件信息）

2、文件删除

可能存在安全问题：前台或后台有删除功能应用
利用：常规删除重装锁定配合程序重装或高危操作

文件编辑漏洞跟这差不多，就是编辑的时候，如果编辑文件也类似方式，那么就可以尝试编辑到其他文件

二、演示案例-WEB攻防-目录遍历&目录穿越-URL参数&功能点

1、目录遍历

目录权限控制不当，通过遍历获取到有价值的信息文件去利用。

2、目录穿越

目录权限控制不当，通过控制查看目录路径穿越到其他目录或判断获取价值文件再利用。