search

Path Traversal

hashtag
Path Traversal Nedir?

  • Path traversal veya directory traversal bir saldırganın uygulamayı çalıştıran sunucudaki herhangi bir dosyayı okumasını sağlar. Bu dosyalar şunları içerebilir:

    • Uygulama kodu ve verileri.

    • Arka uç sistemler için kimlik bilgileri.

    • Hassas işletim sistemi dosyaları.

  • Bazı durumlarda, bir saldırgan sunucudaki rastgele dosyalara yazarak uygulama verilerini veya davranışını değiştirebilir ve sonuçta sunucunun tam kontrolünü ele geçirebilir.

hashtag
Yöntemler

hashtag
Full Path

hashtag
Dizin Değiştirerek

hashtag
Korumayı Atlatma

hashtag
URL Encoding

hashtag
Dizin Kontrolünü Atlatma

hashtag
Eklenti Korumasını atlatma

hashtag
Apache HTTP Server 2.4.49

hashtag
Önlemler

  • Path traversal güvenlik açıklarını önlemenin en etkili yolu, kullanıcı tarafından sağlanan girdiyi dosya sistemi API'lerine aktarmaktan tamamen kaçınmaktır.

  • Kullanıcı tarafından sağlanan girdiyi dosya sistemi API'lerine aktarmaktan kaçınamıyorsanız, saldırıları önlemek için iki savunma katmanı kullanmanızı öneririz:

  • Kullanıcı girdisini izin verilen değerlerden oluşan bir beyaz liste ile karşılaştırın. Bu mümkün değilse, girdinin yalnızca alfanümerik karakterler gibi izin verilen içeriği içerdiğini doğrulayın.

  • Sağlanan girdiyi doğruladıktan sonra, girdiyi temel dizine ekleyin ve yolu canonicalize etmek için bir platform dosya sistemi API'si kullanın. Canonicalized yolun beklenen temel dizinle başladığını doğrulayın.

hashtag
Kaynaklar

PreviousLFI/RFINextInsecure Deserialization

Last updated