宝塔的Nginx伪静态没有限制危险参数,如root、alias这些,可以通过他们越权列出服务器根目录,只要是755权限的都能直接下载,这样同服务器的其它用户的网站就危险了,建议禁用这类的高权限参数。
(已经在QQ群反馈给管理员,这里就是记录一下)
