Gabarito Errado
Path traversal é uma das vulnerabilidades (erro de software) mais perigosas segundo o CWE/SANS Top 25.
É um ataque utilizado por atacantes para obter acesso não autorizado a arquivos e diretórios, e através da sua exploração é possível comprometer completamente o servidor onde a aplicação se encontra.
O Path Traversal é o resultado da falta ou insuficiência de validações de entrada de usuários na aplicação (direto pelo browser). Essa vulnerabilidade pode existir em aplicações de diversas linguagens de programação como C#.Net, Python, PHP, ColdFusion, Perl, etc.
As empresas normalmente realizam scans de vulnerabilidade, análise de código (code review) e testes de intrusão manuais para detectar esse tipo de vulnerabilidade.
Exemplos de path traversal
Ataques Path Traversal podem ser vistos em dois grupos: ataques que exploram falhas no servidor web e ataques que exploram vulnerabilidades no código da aplicação.
Atacantes conseguem explorar vulnerabilidades no código da aplicação enviando URLs que instruem o servidor web a enviar arquivos específicos à aplicação. Para este método funcionar, o atacante precisa encontrar uma URL na qual a aplicação busca arquivos do servidor.
Uma vez que o atacante encontra tal URL, pode-se simpesmente alterar a string da URL com comandos para o servidor e o nome do arquivo que ele busca acessar. A diretiva “../” é normalmente usada, por instruir o servidor web a buscar o arquivo no diretório um nível acima.
Um atacante que está tentando acessar um arquivo específico irá usar tentativa e erro para determinar quantos comandos “../” ele irá precisar para localizar o diretório correto e obter o arquivo através da aplicação.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !