Verzeichnisüberschreitungen

Verzeichnisüberschreitungen, auch Directory Traversal genannt, sind Sicherheitslücken in Software, die es Angreifern ermöglichen, durch manipulierte Dateipfade Dateien außerhalb des vorgesehenen Verzeichnisses abzurufen. Sie treten häufig in Webanwendungen auf, die Benutzereingaben in Pfadkomponenten verwenden, etwa bei Dateidownloads, Dateiinclusion oder dem Zugriff auf Dateien im Dateisystem.

Ursachen sind unsaubere Eingaben, unzureichende Pfadnormalisierung und fehlerhafte Zugriffsfunktionen. Typische Angriffsvektoren umfassen relative Pfade wie ../../ oder

Die Folgen reichen von unbefugtem Zugriff auf sensible Dateien (Konfigurationsdateien, Protokolle, Quellcode) bis zur Offenlegung von

Erkennung erfolgt durch Code-Reviews, Sicherheits-Tests und automatisierte Scanner, die Pfadmanipulation, ungewöhnliche Abweichungen von Basispfaden oder Pfadnormalisierung

Vorbeugung umfasst Whitelisting zulässiger Dateinamen, sichere Pfadzusammenführung relativ zum Basisverzeichnis, Validierung des endgültigen absoluten Pfads (z.