پیمایش دایرکتوری یک حمله سایبری مبتنی بر وب است که شامل دسترسی به فایلها و دایرکتوریهایی است که در زیر دایرکتوری ریشه سرور قرار ندارند. همچنین به عنوان یک پیمایش مسیر یا حمله ../ (نقطه-نقطه-ممیز) نامیده میشود، افراد بدخواه این سوءاستفاده را با دستکاری متغیرهای فایل انجام میدهند.
هنگامی که حمله با موفقیت انجام شد، کاراکترهایی که نشان دهنده «پیمایش به دایرکتوری والد» هستند به API سیستم فایل سیستمعامل منتقل میشوند. در مجموع، این حمله امکان دسترسی به فایلهای حساس را فراهم میکند. گزارش تهدید سایبری 2021 SonicWall این آسیبپذیری را به عنوان یک نگرانی فزاینده شناسایی میکند که 34 درصد از تلاشهای نفوذ در سال 2020 را تشکیل میدهد.
-
چگونه میتوان این تهدید را تشخیص داد:
سادهترین راه برای شناسایی این آسیبپذیری استفاده از نوعی اسکنر آسیبپذیری وب است. این اسکن خودکار نه تنها آسیبپذیریهای عبور دایرکتوری را شناسایی میکند، بلکه سایر آسیبپذیریها را نیز شناسایی کرده و همچنین پیشنهاداتی را برای رفع آنها ارائه میدهد.
-
چگونه میتوان از این تهدید جلوگیری کرد:
متأسفانه، تقریباً هر برنامه وب نسبتاً پیشرفته دارای منابع محلیای است که به مهاجم این فرصت را میدهد که فایل غیرمجاز یا منبع راه دور را برای دسترسی بیشتر اضافه کند. یک فایروال برنامه وب علاوه بر محافظت از هرگونه آسیبپذیری شناسایی شده از طریق اسکن، تقویت امنیتی قابل توجهی را در برابر این حمله و سایر سوء استفادههای مبتنی بر وب فراهم میکند.