文件后缀名添加多个.

假设c盘目录下有一个1.txt文件，在资源管理器中，输入下面的几种路径，最后的效果都是打开1.txt文件：

c:\1.txt

c:\1.txt.

c:\1.txt...

c:\1.txt.. .. .. .

可见操作系统在处理文件名时，会自动过滤掉最后面多余的.与空格。

利用这个特性，攻击者可以逃避一些web针对文件名的过滤检测。假设一个web页面提供上传和下载文件功能，不能下载db文件，不能上传exe文件。如果开发者在获取请求的文件名的后缀名时，只是通过简单的把最后一个.后面的字符串作为文件的后缀名，然后紧紧判断这个后缀名是否在黑名单之内，那么利用上面提到的特性，可以很容易绕过。

如：

下载文件/db/user.db文件，如果输入的请求内容为 /db/user.db.. ...,那么脚本获取到的后缀名为空，不等于“db”，这样就绕过了开发者对文件后缀名的限制。