Full Path Disclosure | Path Traversal or Directory Traversal

Full Path Disclosure

O full path disclosure é basicamente quando conseguimos descobrir o caminho inteiro da aplicação. No caso a seguir é passado por parâmetro um valor que não é esperado no backend e a aplicação retorna um erro mostrando o caminho.

Ao inserir esse valor inesperado, é exibido o erro a seguir.

Path Traversal or Directory Traversal

Essa vulnerabilidade ocorre quando a aplicação que te permite ler arquivos no servidor. Geralmente quando há um parâmetro que te permite acessar algum arquivo que está salvo no servidor, como imagem, por exemplo, se não estiver tratado corretamente pode resultar nessa vulnerabilidade. Se caso isso acontecer, você pode ir navegando pelas pastas no servidor, utilizando "../../../../" para voltar as pastas anteriores e acessando os arquivos.

Link com melhor detalhamento.

What is directory traversal, and how to prevent it? | Web Security AcademyWebSecAcademy