Travessia de Diretórios
O que é Travessia de Diretórios?
Travessia de DiretóriosAtaque que usa sequências de caminho como ../ para escapar do diretório previsto pela aplicação e ler ou escrever ficheiros arbitrários no servidor.
A travessia de diretórios (path traversal) atinge aplicações que constroem caminhos do sistema de ficheiros a partir de entradas do utilizador sem canonicalização adequada. Ao inserir sequências como ../, .., variantes codificadas em URL (%2e%2e%2f) ou caminhos absolutos, o atacante força a aplicação a aceder a ficheiros fora da pasta prevista, expondo segredos de configuração, código-fonte ou ficheiros do sistema como /etc/passwd. Em contextos com escrita, a mesma falha permite sobrescrever ficheiros e obter execução remota de código. As defesas são validar nomes contra uma lista branca rigorosa, resolver caminhos e confirmar que permanecem dentro da raiz esperada, usar APIs de framework que tratem isto com segurança e correr os serviços com contas sem acesso a ficheiros sensíveis.
● Exemplos
- 01
Um endpoint de download com file=../../etc/passwd que devolve o ficheiro de palavras-passe do sistema.
- 02
Um visualizador de imagens que segue ..%2f..%2fwindows%2fwin.ini e expõe um ficheiro de configuração do Windows.
● Perguntas frequentes
O que é Travessia de Diretórios?
Ataque que usa sequências de caminho como ../ para escapar do diretório previsto pela aplicação e ler ou escrever ficheiros arbitrários no servidor. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Travessia de Diretórios?
Ataque que usa sequências de caminho como ../ para escapar do diretório previsto pela aplicação e ler ou escrever ficheiros arbitrários no servidor.
Como se defender contra Travessia de Diretórios?
As defesas contra Travessia de Diretórios costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Travessia de Diretórios?
Nomes alternativos comuns: Path traversal, Ataque ponto-ponto-barra.