What is directory traversal? (file path traversal) - Web Security Academy

Name: What is directory traversal? (file path traversal) - Web Security Academy
Uploaded: 2020-05-21T00:00:00.000Z
Duration: 10 min 9 s

Explicación de la Travesía de Rutas de Archivo

Resumen de la Sección: En esta sección se explica qué es la travesía de rutas de archivo, cómo llevar a cabo ataques de travesía de ruta, sortear obstáculos comunes y prevenir vulnerabilidades.

Descripción detallada

La travesía de rutas permite a un atacante leer archivos arbitrarios en el servidor, incluyendo código de aplicación, credenciales y archivos del sistema operativo.

Ejemplo: una aplicación web que carga imágenes mediante una URL que toma un parámetro con el nombre del archivo para devolver su contenido desde una ubicación específica en disco.

Falta de defensas contra ataques de travesía: al no implementar defensas, un atacante puede solicitar archivos arbitrarios del sistema del servidor.

Secuencias válidas en sistemas Unix: ".." significa subir un nivel en la estructura del directorio; tres secuencias consecutivas llevan al directorio raíz.

Defensas implementadas por aplicaciones: muchas aplicaciones defienden contra estos ataques pero pueden ser evitadas mediante diversas técnicas.

Video description

Directory traversal (also known as file path traversal) is a web security vulnerability that allows an attacker to read arbitrary files on the server that is running an application. Learn more from the Web Security Academy, by PortSwigger. Read the full guide: https://portswigger.net/web-security/file-path-traversal Register for free with the Web Security Academy to test yourself in our interactive labs: https://portswigger.net/web-security