Wir haben die Directory-Traversal-Schwachstelle behandelt, um Challenge 007 im kostenlosen OWASP Hackademic-Labor zu lösen.
Directory Traversal ist ein anderer Name für Path Traversal. Dank dieser Schwachstellen kann ein Angreifer jede Datei auf dem Server lesen, auf dem das Programm ausgeführt wird.
Gelegentlich kann ein Angreifer möglicherweise in jede beliebige Datei auf dem Server schreiben, was ihm die Möglichkeit gibt, das Anwendungsverhalten oder die Daten zu ändern und schließlich die vollständige Kontrolle über den Computer zu erlangen.
Zahlreiche Programme, die Benutzereingaben in Dateipfade einbeziehen, verfügen über Anti-Path-Traversal-Maßnahmen. Diese können oft umgangen werden.
Wenn ein Programm Verzeichnisdurchlaufsequenzen aus dem vom Benutzer angegebenen Dateinamen entfernt oder verhindert, stehen möglicherweise mehrere Methoden zur Umgehung der Abwehr zur Verfügung.
Praktische Hinweise zur Burp Suite
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Komplettlösung