Faille de sécurité : Directory Traversal

Home / Sécurité / Réparation des Failles de Sécurité / Faille de sécurité : Directory Traversal

Description

La faille Directory Traversal permet aux pirates d’explorer récursivement tous les fichiers et répertoires d’un serveur. Tout serveur web dont les entrées utilisateurs sont mal contrôlées est vulnérable à ce type d’attaque.

Conséquences

Si la tentative réussit, le pirate peut afficher et altérer des fichiers confidentiels, fichiers de configuration critiques, et s’en servir pour exécuter les codes malicieux qu’il a créés. Par exemple :

  • Un pirate informatique peut annexer un nouveau compte à la fin d’un fichier de mots de passe pour contourner l’authentification et s’enregistrer lui-même comme un administrateur, ou  empêcher les utilisateurs d’accéder au logiciel.
  • Un pirate peut être en mesure de lire le contenu de fichiers confidentiels stockés sur un serveur et exposer ces données sensibles, ou les vendre à d’autres personnes malveillantes.
  • Combinée à une faille CWE-352 CSRF, la faille CWE-27 Directory Traversal peut s’avérer particulièrement dangereuse.
  • Le pirate peut exécuter du code sur le serveur? Et après >>