Directory traversal attack (original) (raw)

A directory traversal (or path traversal) attack exploits insufficient security validation or sanitization of user-supplied file names, such that characters representing "traverse to parent directory" are passed through to the operating system's file system API. An affected application can be exploited to gain unauthorized access to the file system. Directory traversal is also known as the ../ (dot dot slash) attack, directory climbing, and backtracking. Some forms of this attack are also canonicalization attacks.

Property	Value
dbo:abstract	A directory traversal (or path traversal) attack exploits insufficient security validation or sanitization of user-supplied file names, such that characters representing "traverse to parent directory" are passed through to the operating system's file system API. An affected application can be exploited to gain unauthorized access to the file system. Directory traversal is also known as the ../ (dot dot slash) attack, directory climbing, and backtracking. Some forms of this attack are also canonicalization attacks. (en) Als Directory Traversal (oder auch Forceful Browsing) bezeichnet man eine Sicherheitslücke in einem Webserver oder einer Webanwendung, bei der durch Eingabe von URLs auf Dateien und Verzeichnisse zugegriffen werden kann, die dafür eigentlich nicht vorgesehen waren. Mögliche Ziele sind Dateien mit sensiblen Daten wie Adressdaten, Kreditkartennummern oder auch Passwörtern. (de) Un directory traversal (o salto de directorio o cruce de directorio o path traversal) consiste en explotar una vulnerabilidad informática que ocurre cuando no existe suficiente seguridad en cuanto a la validación de un usuario, permitiéndole acceder a cualquier tipo de directorio superior (padre) sin ningún control. La finalidad de este ataque es ordenar a la aplicación a acceder a un archivo al que no debería poder acceder o no debería ser accesible. Este ataque se basa en la falta de seguridad en el código. El software está actuando exactamente como debe actuar y en este caso el atacante no está aprovechando un bug en el código. Directory traversal también es conocido como el ../ ataque punto punto barra, escalado de directorios y backtracking. (es) ディレクトリトラバーサル (英語: directory traversal) とは、利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。この攻撃の目標は、アクセス可能にすることを意図していないファイルへのアクセスをアプリケーションに命令することである。この攻撃は、コードに含まれるバグの攻撃とは対照的に、セキュリティの欠如 (ソフトウェアがまさにそう振る舞うことになっている動作) を攻撃する。ディレクトリトラバーサルには ../ (ドットドットスラッシュ) 攻撃、ディレクトリクライミング、およびバックトラッキングのような別名がある。この攻撃の一部の形態は、正規化攻撃でもある。 (ja) Un attacco informatico directory traversal (o path traversal) consiste nello sfruttare un'insufficiente validazione di sicurezza o una scarsa sanificazione dell'input di nomi di file forniti dall'utente, come i caratteri speciali utilizzati per "raggiungere la cartella padre (root directory)" che vengono passati alle API dei file a livello web server. Questo significa fare exploit dell'input. L'exploit HTTP che si effettua quando si vuole realizzare questo tipo di attacco, permette all'attaccante di poter accedere a cartelle ad accesso ristretto (accessibili solo con determinati privilegi) ed eseguire comandi all'esterno della web directory o della working directory (CWD). L'esecuzione di questi comandi porta all'accesso malevolo di alcuni file localizzati sul server remoto. L'obiettivo dell’attacco è utilizzare un'applicazione specifica per poter guadagnare, in modo non autorizzato, i privilegi di accesso al file system. Questo attacco sfrutta un buco di sicurezza invece di sfruttare un bug nel codice (il software si comporta esattamente come ci si aspetta). Sfruttando la vulnerabilità all'attacco Directory traversal è possibile raggiungere dei dati al di fuori della root directory, come il file shadow delle password o altri file contenenti dati importanti per scatenare un attacco contro il sistema vulnerabile. Directory traversal è anche conosciuto come attacco ../ (dot dot slash), directory climbing e backtracking. Alcune forme di questo attacco sono anche dette attacchi in forma canonica, normale o standard. (it) 目录遍历（英文：Directory traversal），又名路径遍历（英文：Path traversal）是一种利用网站的安全验证缺陷或用户请求验证缺陷（如传递特定字符串至文件应用程序接口）来列出服务器目录的漏洞利用方式。此攻击手段的目的是利用存在缺陷的应用程序来获得目标文件系统上的非授权访问权限。与利用程序漏洞的手段相比，这一手段缺乏安全性（因为程序运行逻辑正确）。目录遍历在英文世界里又名../ 攻击（Dot dot slash attack）、目录攀登（Directory climbing）及回溯（Backtracking）。其部分攻击手段也可划分为攻击（Canonicalization attack）。 (zh)
dbo:wikiPageExternalLink	http://dotdotpwn.sectester.net/ https://www.htbridge.com/vulnerability/path-traversal.html http://comment.zdnet.co.uk/0,39020505,39226981,00.htm http://seclists.org/lists/bugtraq/2000/Oct/0264.html http://www.webappsec.org/projects/threat/classes/path_traversal.shtml http://www.owasp.org https://www.theregister.co.uk/2005/10/05/dec_case/ http://www.schneier.com/crypto-gram-0007.html http://cwe.mitre.org/data/definitions/22.html
dbo:wikiPageID	2324396 (xsd:integer)
dbo:wikiPageLength	9941 (xsd:nonNegativeInteger)
dbo:wikiPageRevisionID	1113873268 (xsd:integer)
dbo:wikiPageWikiLink	dbr:Hacker_(computer_security) dbr:Archive_file dbr:Percent-encoding dbr:UTF-8 dbr:Double_encoding dbr:Insecure_direct_object_reference dbr:Chroot dbr:Zip_(file_format) dbr:URI dbr:DOS dbr:Null_character dbr:PHP dbr:Password_cracking dbr:Internet_Information_Services dbc:Web_security_exploits dbr:File_descriptor dbr:File_system dbr:File_system_API dbr:Microsoft dbr:Microsoft_Windows dbr:Canonicalization dbr:Working_directory dbr:Security_exploit
dbp:wikiPageUsesTemplate	dbt:Reflist dbt:Short_description
dct:subject	dbc:Web_security_exploits
rdf:type	yago:WikicatComputerSecurityExploits yago:WikicatWebSecurityExploits yago:Abstraction100002137 yago:Accomplishment100035189 yago:Act100030358 yago:Action100037396 yago:Event100029378 yago:Feat100036762 yago:PsychologicalFeature100023100 yago:YagoPermanentlyLocatedEntity
rdfs:comment	A directory traversal (or path traversal) attack exploits insufficient security validation or sanitization of user-supplied file names, such that characters representing "traverse to parent directory" are passed through to the operating system's file system API. An affected application can be exploited to gain unauthorized access to the file system. Directory traversal is also known as the ../ (dot dot slash) attack, directory climbing, and backtracking. Some forms of this attack are also canonicalization attacks. (en) Als Directory Traversal (oder auch Forceful Browsing) bezeichnet man eine Sicherheitslücke in einem Webserver oder einer Webanwendung, bei der durch Eingabe von URLs auf Dateien und Verzeichnisse zugegriffen werden kann, die dafür eigentlich nicht vorgesehen waren. Mögliche Ziele sind Dateien mit sensiblen Daten wie Adressdaten, Kreditkartennummern oder auch Passwörtern. (de) ディレクトリトラバーサル (英語: directory traversal) とは、利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。この攻撃の目標は、アクセス可能にすることを意図していないファイルへのアクセスをアプリケーションに命令することである。この攻撃は、コードに含まれるバグの攻撃とは対照的に、セキュリティの欠如 (ソフトウェアがまさにそう振る舞うことになっている動作) を攻撃する。ディレクトリトラバーサルには ../ (ドットドットスラッシュ) 攻撃、ディレクトリクライミング、およびバックトラッキングのような別名がある。この攻撃の一部の形態は、正規化攻撃でもある。 (ja) 目录遍历（英文：Directory traversal），又名路径遍历（英文：Path traversal）是一种利用网站的安全验证缺陷或用户请求验证缺陷（如传递特定字符串至文件应用程序接口）来列出服务器目录的漏洞利用方式。此攻击手段的目的是利用存在缺陷的应用程序来获得目标文件系统上的非授权访问权限。与利用程序漏洞的手段相比，这一手段缺乏安全性（因为程序运行逻辑正确）。目录遍历在英文世界里又名../ 攻击（Dot dot slash attack）、目录攀登（Directory climbing）及回溯（Backtracking）。其部分攻击手段也可划分为攻击（Canonicalization attack）。 (zh) Un directory traversal (o salto de directorio o cruce de directorio o path traversal) consiste en explotar una vulnerabilidad informática que ocurre cuando no existe suficiente seguridad en cuanto a la validación de un usuario, permitiéndole acceder a cualquier tipo de directorio superior (padre) sin ningún control. Directory traversal también es conocido como el ../ ataque punto punto barra, escalado de directorios y backtracking. (es) Un attacco informatico directory traversal (o path traversal) consiste nello sfruttare un'insufficiente validazione di sicurezza o una scarsa sanificazione dell'input di nomi di file forniti dall'utente, come i caratteri speciali utilizzati per "raggiungere la cartella padre (root directory)" che vengono passati alle API dei file a livello web server. Questo significa fare exploit dell'input. Directory traversal è anche conosciuto come attacco ../ (dot dot slash), directory climbing e backtracking. Alcune forme di questo attacco sono anche dette attacchi in forma canonica, normale o standard. (it)
rdfs:label	Directory Traversal (de) Directory traversal (es) Directory traversal attack (en) Directory traversal attack (it) ディレクトリトラバーサル (ja) 目录遍历 (zh)
owl:sameAs	freebase:Directory traversal attack yago-res:Directory traversal attack wikidata:Directory traversal attack dbpedia-de:Directory traversal attack dbpedia-es:Directory traversal attack dbpedia-he:Directory traversal attack dbpedia-it:Directory traversal attack dbpedia-ja:Directory traversal attack dbpedia-lmo:Directory traversal attack dbpedia-zh:Directory traversal attack https://global.dbpedia.org/id/46iKj
prov:wasDerivedFrom	wikipedia-en:Directory_traversal_attack?oldid=1113873268&ns=0
foaf:isPrimaryTopicOf	wikipedia-en:Directory_traversal_attack
is dbo:wikiPageRedirects of	dbr:Directory_traversal dbr:Path_traversal dbr:Path_traversal_vulnerability
is dbo:wikiPageWikiLink of	dbr:Home_Assistant dbr:Double_encoding dbr:Insecure_direct_object_reference dbr:File_inclusion_vulnerability dbr:Web_server_directory_index dbr:Directory_traversal dbr:Path_traversal dbr:Path_traversal_vulnerability
is foaf:primaryTopic of	wikipedia-en:Directory_traversal_attack