Pfadmanipulation - Infinite Lexicon - Infinite Lexicon

Pfadmanipulation

Pfadmanipulation bezeichnet eine Gruppe von Sicherheitslücken, bei denen Angreifer Eingaben, die Dateipfade enthalten, so manipulieren, dass sie auf Dateien oder Verzeichnisse außerhalb des vorgesehenen Bereichs zugreifen können. Solche Angriffe treten häufig in Webanwendungen auf, die Dateinamen, Dateiuploads, Dateidownloads oder dynamische Inkludierungen von Dateien verarbeiten.

Typische Techniken umfassen die Verwendung von Verzeichnis-Traversal-Sequenzen wie ../, URL-Encoding, doppelte Kodierung sowie der Ausnutzung von symbolischen

Betroffene Bereiche sind Webserver, Content-Management-Systeme, Frameworks, Backend-APIs sowie Programmiersprachen wie PHP, Python, Java oder Ruby, in

Schutzmaßnahmen umfassen robuste Eingabevalidierung und Pfadnormalisierung, etwa durch Realpath oder ähnliche Funktionen, sowie die Prüfung, dass

Pfadnormalisierung.

Benutzereingaben

Konfigurationsdateien

Protokolldateien

Pfadmanipulation

Benutzereingaben

Schutzmaßnahmen

Pfadmanipulation

Informationsverlust,

Datenexfiltration

Dateizugriffsberechtigungen

Open-Funktionen

Benutzereingaben,

Containerisierung

Sicherheitstests.