小米路由器的nginx配置文件错误，导致目录穿越漏洞，实现任意文件读取（无需登录）nginx配置不当可导致目录穿越漏洞location /xxx {alias /abc/;}可通过访问http://domain.cn/xxx…/etc/passwd实现目录穿越访问上级目录及其子目录文件。在小米路由器的文件/etc/sysapihttpd/sysapihttpd.conf中，存在location /

中间人攻击(Man-in-the-MiddleAttack，简称“MITM攻击”)是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方 直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。中间人攻击是一个(缺乏)相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人