Path traversal
Также: Обход директорий
Уязвимость, позволяющая злоумышленнику получить доступ к файлам на сервере, которые не должны быть публичными, через манипуляцию путями к файлам.
Path traversal — это дыра в безопасности, когда программа позволяет пользователю «выпрыгнуть» из разрешенной папки и заглянуть в системные файлы сервера. Обычно приложение ожидает, что пользователь запросит файл из папки «uploads», но злоумышленник подставляет специальные символы (например, «../»), чтобы подняться на уровень выше и прочитать конфиденциальные данные.
Представьте, что вы находитесь в отеле, где у вас есть ключ только от вашего номера. Path traversal — это как если бы вы нашли способ так повернуть ключ в замке, что дверь открылась бы не только в ваш номер, но и в соседние комнаты или даже в кабинет администратора, куда вам вход строго запрещен.
Зачем это нужно
Для вайбкодера это критически важно, так как при создании инструментов, работающих с файловой системой или загрузкой данных, можно случайно оставить «открытую дверь». Понимание этой угрозы помогает правильно настраивать валидацию путей и защищать сервер от кражи секретов или исходного кода.