Hasło słownika
Path traversal
Klasa podatności pozwalająca wydostać się poza dozwolony katalog i odczytać/zapisać pliki w innych lokalizacjach poprzez manipulację ścieżką (np. ../).
Cyberbezpieczeństwokategoria
5aliasy
directory traversal traversal CWE-22 ../ ..\
Opis
Path traversal pojawia się tam, gdzie aplikacja składa ścieżkę pliku z danych od użytkownika (nazwa pliku, katalog, parametr URL). Jeśli walidacja jest słaba, atakujący może odwołać się do plików spoza 'bezpiecznego' katalogu - np. konfiguracji, kluczy, plików systemowych - albo zapisać coś w nieoczekiwanym miejscu.
Przykłady
- Atakujący podaje ścieżkę z ../ i odczytuje plik konfiguracyjny spoza webroota.
- Błąd path traversal pozwala zapisać plik w innym katalogu i przygotować kolejny etap ataku.