Path traversal क्या है?

यह दुख की बात है कि इंटरनेट पर सबसे खतरनाक कमजोरियों का पता लगाना सबसे आसान है। आज, मैं एक ऐसी भेद्यता के बारे में बात करना चाहता हूं: Path traversal. एक Path traversal vulnerability एक Attacker को आपके वेब सर्वर पर उन फ़ाइलों तक पहुंचने की अनुमति देती है, जिन तक उनकी पहुंच नहीं होनी चाहिए। वे वेब सर्वर या उस पर चल रहे वेब एप्लिकेशन को वेब रूट फ़ोल्डर के बाहर मौजूद फ़ाइलों को वापस करने में धोखा देकर ऐसा करते हैं।

पथ ट्रैवर्सल क्या है? हिंदी में [What is Path traversal? In Hindi]

पाथ ट्रैवर्सल कई महत्वपूर्ण वेब एप्लिकेशन सुरक्षा कमजोरियों में से एक है। यह एक हमलावर को वेब सर्वर पर उन फाइलों तक पहुंच प्राप्त करने की अनुमति देता है जो मूल रूप से उसके लिए पहुंच योग्य नहीं है। यह वेब एप्लिकेशन को धोखा देने की विधि को नियोजित करता है - या सीधे वेब सर्वर जिस पर एप्लिकेशन चल रहा है - वेब रूट फ़ोल्डर के बाहर मौजूद फ़ाइलों को वापस करने में।

अक्सर, एक वेब सर्वर पर एक वेब एप्लिकेशन का निर्माण करना जिसके फाइल सिस्टम में कोई मार्मिक रिकॉर्ड नहीं है, कल्पना के दायरे से परे है या अत्यधिक अतार्किक है। उदाहरण के लिए, सिनोप्सिस वेब स्कैनर और सिनॉप्सिस एपीआई स्कैनर, वेब सर्वर पर कई सेटअप रिकॉर्ड की उपस्थिति पर निर्भर करता है, साथ ही साइट का Source code भी, उचित रूप से चलाने के लिए वेब सर्वर पर। आपके आवेदन को संभवतः काम करने के लिए तुलनात्मक व्यवस्था रिकॉर्ड फाइल सिस्टम की उपस्थिति की आवश्यकता होगी। इन रिकॉर्ड्स में साइट के डेटा सेट के लिए योग्यताएं शामिल हो सकती हैं, जिसका उपयोग एक हमलावर आपके क्लाइंट के संपूर्ण डेटा तक पहुंचने के लिए कर सकता है। वे क्रॉसिंग का उपयोग आपके स्रोत कोड को उजागर करने के लिए भी किया जा सकता है, जो एक हमलावर को अधिक संवेदनशील डेटा खोजने के लिए प्रेरित कर सकता है (यदि आप स्रोत कोड स्थिरांक में योग्यता संग्रहीत करते हैं। आप ऐसा नहीं करते हैं, क्या यह सही नहीं है?) या विभिन्न कमजोरियों। अधिक भयानक अभी तक, चूंकि हमलावरों को आपके फाइल सिस्टम के लिए पूर्ण स्वीकृति है, वे फ्रेमवर्क प्रोग्राम (उदाहरण के लिए, एक रद्दीकरण कार्यक्रम) प्राप्त कर सकते हैं और उन्हें चलाने के लिए शक्ति दे सकते हैं, जिससे आपके ढांचे पर संभावित रूप से अपरिवर्तनीय नुकसान हो सकता है। DNS Spoofing क्या है?