Abbiamo trattato la vulnerabilità di attraversamento delle directory per risolvere la sfida 007 nel laboratorio gratuito OWASP Hackademic.
L'attraversamento della directory è un altro nome per l'attraversamento del percorso. Grazie a queste vulnerabilità, un utente malintenzionato può leggere qualsiasi file sul server su cui è in esecuzione il programma.
Un utente malintenzionato potrebbe occasionalmente essere in grado di scrivere su qualsiasi file sul server, il che gli darebbe la possibilità di alterare il comportamento o i dati dell'applicazione e infine assumere il controllo totale della macchina.
Numerosi programmi che incorporano l'input dell'utente nei percorsi dei file dispongono di misure anti-percorso trasversale. Questi possono spesso essere aggirati.
Potrebbero essere disponibili diversi metodi per aggirare la difesa se un programma rimuove o impedisce sequenze di attraversamento delle directory dal nome file fornito dall'utente.
Appunti pratici della suite Burp
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Videoprocedura dettagliata