An attacker exploits a weakness in input validation on the target by supplying a specially constructed path utilizing dot and slash characters for the purpose of obtaining access to arbitrary files or resources. An attacker modifies a known path on the target in order to reach material that is not available through intended channels. These attacks normally involve adding additional path separators (/ or \\) and/or dots (.), or encodings thereof, in various combinations in order to reach parent directories or entirely separate trees of the target's directory structure.
Description
Attack Execution Flow
4
1
Step 1
Explore[Fingerprinting of the operating system] In order to perform a valid path traversal, the adversary needs to know what the underlying OS is so that the proper file seperator is used.
Port mapping. Identify ports that the system is listening on, and attempt to identify inputs and protocol types on those ports.
TCP/IP Fingerprinting. The adversary uses various software to make connections or partial connections and observe idiosyncratic responses from the operating system. Using those responses, they attempt to guess the actual operating system.
Induce errors to find informative error messages
AI Translation
[Fingerprinting del sistema operativo] Per eseguire una validazione di path traversal, l'attaccante deve conoscere quale sistema operativo sottostante viene utilizzato, in modo da usare il separatore di file corretto.
Mappatura delle porte. Identificare le porte su cui il sistema è in ascolto e tentare di individuare input e tipi di protocollo su quelle porte.
Fingerprinting TCP/IP. L'attaccante utilizza vari software per stabilire connessioni o connessioni parziali e osservare risposte idiosincratiche dal sistema operativo. Utilizzando queste risposte, cercano di indovinare il sistema operativo effettivo.
Indurre errori per trovare messaggi di errore informativi
Attack Techniques
-
TCP/IP Fingerprinting. The adversary uses various software to make connections or partial connections and observe idiosyncratic responses from the operating system. Using those responses, they attempt to guess the actual operating system.
-
Port mapping. Identify ports that the system is listening on, and attempt to identify inputs and protocol types on those ports.IT: Fingerprinting TCP/IP. L'avversario utilizza diversi software per stabilire connessioni o connessioni parziali e osservare risposte peculiari dal sistema operativo. Utilizzando tali risposte, cerca di indovinare il sistema operativo effettivo.
-
Induce errors to find informative error messagesIT: Fingerprinting TCP/IP. L'avversario utilizza diversi software per stabilire connessioni o connessioni parziali e osservare risposte peculiari dal sistema operativo. Utilizzando tali risposte, cerca di indovinare il sistema operativo effettivo.
2
Step 2
Explore[Survey application] Using manual or automated means, an adversary will survey the target application looking for all areas where user input is taken to specify a file name or path.
Use a spidering tool to follow and record all links on a web page. Make special note of any links that include parameters in the URL.
Use a proxy tool to record all links visited during a manual traversal of a web application. Make special note of any links that include parameters in the URL. Manual traversal of this type is frequently necessary to identify forms that are GET method forms rather than POST forms.
Use a browser to manually explore a website and analyze how it is constructed. Many browser plug-ins are available to facilitate the analysis or automate the URL discovery.
AI Translation
[Survey application] Utilizzando metodi manuali o automatizzati, un adversary effettuerà un survey dell'applicazione target alla ricerca di tutte le aree in cui vengono accettati input utente per specificare un nome file o un percorso.
Utilizza uno strumento di spidering per seguire e registrare tutti i link su una pagina web. Prendi nota speciale di eventuali link che includono parametri nell'URL.
Utilizza uno strumento proxy per registrare tutti i link visitati durante una traversata manuale di un'applicazione web. Prendi nota speciale di eventuali link che includono parametri nell'URL. Una traversata manuale di questo tipo è frequentemente necessaria per identificare moduli che utilizzano il metodo GET anziché POST.
Utilizza un browser per esplorare manualmente un sito web e analizzarne la struttura. Sono disponibili molti plugin per browser che facilitano l'analisi o automatizzano la scoperta degli URL.
Attack Techniques
-
Use a browser to manually explore a website and analyze how it is constructed. Many browser plug-ins are available to facilitate the analysis or automate the URL discovery.
-
Use a spidering tool to follow and record all links on a web page. Make special note of any links that include parameters in the URL.IT: Utilizza un browser per esplorare manualmente un sito web e analizzare come è strutturato. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta degli URL.
-
Use a proxy tool to record all links visited during a manual traversal of a web application. Make special note of any links that include parameters in the URL. Manual traversal of this type is frequently necessary to identify forms that are GET method forms rather than POST forms.IT: Utilizza un browser per esplorare manualmente un sito web e analizzare come è strutturato. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta degli URL.
3
Step 3
Experiment[Attempt variations on input parameters] Using manual or automated means, an adversary attempts varying relative file path combinations on all found user input locations and observes the responses.
Provide '../' or '..\' at the beginning of any filename to traverse to the parent directory
Use a list of probe strings as path traversal payload. Different strings may be used for different platforms. Strings contain relative path sequences such as '../'.
Use a proxy tool to record results of manual input of relative path traversal probes in known URLs.
AI Translation
[Provare variazioni sui parametri di input] Utilizzando metodi manuali o automatizzati, un adversary tenta di variare le combinazioni relative dei percorsi dei file su tutte le posizioni di input utente trovate e osserva le risposte.
Fornire "../" o "..\" all'inizio di qualsiasi nome file per attraversare alla directory superiore
Usare una lista di stringhe di probe come payload di path traversal. Stringhe diverse possono essere usate per piattaforme diverse. Le stringhe contengono sequenze di percorsi relativi come "../".
Utilizzare uno strumento proxy per registrare i risultati dell'inserimento manuale di probe di path traversal relativi in URL noti.
Attack Techniques
-
Provide "../" or "..\" at the beginning of any filename to traverse to the parent directory
-
Use a list of probe strings as path traversal payload. Different strings may be used for different platforms. Strings contain relative path sequences such as "../".IT: Fornisci "../" o "..\" all'inizio di qualsiasi nome file per attraversare la directory padre
-
Use a proxy tool to record results of manual input of relative path traversal probes in known URLs.IT: Fornisci "../" o "..\" all'inizio di qualsiasi nome file per attraversare la directory padre
4
Step 4
Exploit[Access, modify, or execute arbitrary files.] An adversary injects path traversal syntax into identified vulnerable inputs to cause inappropriate reading, writing or execution of files. An adversary could be able to read directories or files which they are normally not allowed to read. The adversary could also access data outside the web document root, or include scripts, source code and other kinds of files from external websites. Once the adversary accesses arbitrary files, they could also modify files. In particular situations, the adversary could also execute arbitrary code or system commands.
Manipulate file and its path by injecting relative path sequences (e.g. '../').
Download files, modify files, or try to execute shell commands (with binary files).
AI Translation
[Accesso, modifica o esecuzione di file arbitrari.] Un adversary injecta sintassi di traversal del percorso negli input vulnerabili identificati per causare la lettura, scrittura o esecuzione inappropriata di file. Un adversary potrebbe essere in grado di leggere directory o file ai quali normalmente non avrebbe accesso. L'adversary potrebbe anche accedere a dati al di fuori della root del documento web, o includere script, codice sorgente e altri tipi di file da siti web esterni. Una volta che l'adversary ha accesso a file arbitrari, potrebbe anche modificarli. In situazioni particolari, l'adversary potrebbe anche eseguire codice arbitrario o comandi di sistema.
Manipolare il file e il suo percorso iniettando sequenze di percorso relativo (ad esempio "../").
Scaricare file, modificare file o tentare di eseguire comandi shell (con file binari).
Attack Techniques
-
Download files, modify files, or try to execute shell commands (with binary files).
-
Manipulate file and its path by injecting relative path sequences (e.g. "../").IT: Scarica file, modifica file o tenta di eseguire comandi shell (con file binari).
Mitigations
6
Design: Input Validation. Assume That User Inputs Are Malicious. Utilize Strict Type, Character, And Encoding Enforcement
Implementation: Perform Input Validation For All Remote Content, Including Remote And User-Generated Content.
Implementation: Prefer Working Without User Input When Using File System Calls
Implementation: Use Indirect References Rather Than Actual File Names.
Implementation: Use Possible Permissions On File Access When Developing And Deploying Web Applications.
Implementation: Validate User Input By Only Accepting Known Good. Ensure All Content That Is Delivered To Client Is Sanitized Against An Acceptable Content Specification -- Using An Allowlist Approach.
Consequences
Security Scopes Affected
Access Control
Availability
Confidentiality
Integrity
Potential Impacts
Bypass Protection Mechanism
Execute Unauthorized Commands
Modify Data
Read Data
Unreliable Execution