学习自下的回答，本内容为阅读对应资料后的笔记和自己的理解： Why does Directory traversal attack %C0%AF work?

基础知识 ​

bits：组成bytes，是最小的单位

bytes：由8个bits组成。

URL编码 ​

URL编码-

• 也叫百分比编码（https://en.wikipedia.org/wiki/Percent-encoding）
• 组成：%xx ，其中x代表一个十六进制的数字，能代表0-255内的数字
• %xx代表一个byte

%C0%2F：对应十进制192 (1100 0000) 和175 (1010 1111),

%C0%AF：对应十进制的192 (1100 0000)和47 (0010 1111)

关于ASCII ​

ASCII 定义了0-127下的byte代表的的符号

ASCII 的扩展：unicode编码，以允许特殊符号（for non-English writers）

Unicode ​

Unicode下特殊字符被数字编码替代。

Unicode进入字节流需要：

• UTF-8编码
• ASCII in a single byte (8 bits 0-127)

UTF-8编码下：

110x xxxx 代表2 bytes （values 在：128-2047）

1110 xxxx 代表3 bytes

1111 xxxx 代表4 bytes

在UTF-8对于2bytes的字符的格式定义见下图第二行：

%C0%AF是在范围外的数字：%AF(0010 1111) 与格式10xxxxxx不符。所以%C0%AF应该在UTF-8中视为报错。然而UTF-8为了速度”快“的设计忽略了安全方面。所以有的库不会检查two-byte的编码的值是否在有效范围内（即使unicode标准禁止这个）。

许多网站并不检查第二个byte的首个bit是否是1，因为前一个byte已经表明了该字符有2byte的codepoint。

错误的解码会接受110i jklm ??no pqrs 作为有两个byte的codepoint，而忽视掉10也是UTF-8的标准

所以，现在我们知道了为什么%C0%AF和%C0%2F都能最终被unicode 解码器解码为符号/ 的原因是跳过了合适的检查。

至于为什么能够成功的实现目录遍历，通常是发生在过滤不当输入和解码unicode符号发生在服务器的不同层级。

如果，服务器提供文件并且完成解码 是在防止目录遍历的检查后的；或操作系统的差异有略不同的处理，攻击者就能够跳过过滤让攻击生效。