一些(xiē)業務應用(yòng)由于業務需求,可能(néng)提供文(wén)件查看(kàn)或下(xià)載功能(néng)。如果對(duì)用(yòng)戶查看(kàn)或下(xià)載的文(wén)件不做限制,則惡意用(yòng)戶能(néng)夠查看(kàn)或下(xià)載任意文(wén)件,可以是源代碼文(wén)件、敏感文(wén)件等。攻擊者可構造惡意請(qǐng)求下(xià)載服務器上(shàng)的敏感文(wén)件,進而植入網站(zhàn)後門(mén)控制網站(zhàn)服務器主機。