Path Traversal

• 사용자 입력값이 웹 애플리케이션 서버의 파일 시스템에 전달될 경우 사용
• GET 매개변수, URL 경로, POST Body 데이터, Cookie 요청 헤더를 통해 로드 요청하는지 점검
• 해당 부분이 있다면 ../를 통해 root 디렉토리까지 이동하고 /etc/passwd 등 파일 읽기
• 필터에 막히는 경우, 우회 시도하기

....// 등

문자	URL 인코딩	유니코드 인코딩
.	%2e	%u002e
/	%2f	%u2215
\	%5c	%u2216

 

 

Ex) 워게임 내 path traversal