Path Traversal

                                   Path Traversal

  ماهي ثغرة  Path Traversal او بالعربية اجتياز المسار :

هي نوع من انواع الثغرات التي تعتبر خطرة نوعا ما فهي تمكن من الاطلاع على محتوبات السيرفر والتنقل بين المجلدات الموجودة على السيرفر كما يمكنك الخروج من ملف جذر الويب
------------------------------------------------------------------------------------------------------------

الاساسيات:

اولا بما ان الثغرة تسمح لنا بالتنقل بين الملفات الموجودة على السيرفر فأكيد نحن نتعامل مع نظام تشغيل لان السيرفر عبارة عن جهاز ومركب عليه نظام تشغيل فبهذه الحالة علينا معرفة نوع نظام التشغيل المثبت على السيرفر ويوجد العديد من الادوات تقوم لنا بهذه المهمة من ابرزها Nmap فقط عليكم البحث والتعمق بالاداة فهي اداة حقا جميلة لكن الان سأخبركم كيف تعرفون نوع نظام التشغيل لاختصار وقت البحث عليكم :
nmap 12.123.115.1 -O
حيث O- هي ستخبركم بنوع نظام التشغبل ممتاز الان بعد معرفة نوع نظام التشغيل سيسهل علينا استغلال الثغرة فاذا كان :
UNIX or LINIX:
Root directory:  “ / “ 
Directory separator: “ / “
WINDOWS:
Root directory: “  <partition letter> : \ “
Directory separator: “ / “ or “ \ ” 
Note that windows allows filenames to be followed by extra . \ / characters.
----------------------------------------------------------------------------------

امثلة على استغلال الثغرة :

لدينا عنوان URL التالي:
http://some_site.com.br/get-files.jsp?file=report.pdf 
كما نرا فأن بعد =file أنه متغير يأخذ اسم الملف report.pdf ويقوم بعرضه في المتصفح لانستبعد
ان يكون فيه ثغرة RFI لكن ليس موضوعنا اليوم فلنجرب التنقل وعرض الملفات الموجودة على السيرفر
طبعا حسب نوع نظام النشغيل :
 
http://some_site.com.br/get-files?file=/etc/passwd 
هذا المثال على نظام التشغيل Linux لان الetc غير موجود في ويندوز انت يمكنك التنقل على ويندوز ومعرفة
الملفات التي عليك استهدافها ومعرفة اسمائها
 --------------------------------------------------------------------------------------------------------------
يمكنك القراءة عن هذه الثغرة اكثر من هنا

تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

Cross-site scripting Vulnerabilities

                       Cross-site-scripting(XSS) او الترجمة بالعربية البرمجة النصية عبر الموقع . في هذا المقال اخترنا لكم ثغرة XSS للتحدث عنها وعن انواعها وكيف يكون موقعك معرض لهذا النوع من الثغرات وكيف ينم الحماية منه اي انشالله سيكون هذا المقال شامل عن ثغرات XSS : 1-ماهي ثغرات XSS : ثغرات xss اختصار لCross-site-scripting او الترجمة العربية اليرمجة النصية عبر الموقع ولم يسموها css لعدم التصادم بينها وبين لغة تصميم المواقع الالكترونية هي ثغرات تمكن الهاكر بعمل عدد من الاشياء بموقعك وفي بعض الاحيان تكون خطيرة لدرجة انه ممكن سرقة Cookies الادمن والدخول على الموقع ورفع الاندكس اذا تم استغلالها بشكل صحيح                                انواع ثغرة xss 1-Stored XSS بالعربية ثغرات XSS من الانواع التي تتخزن ضمن الصفحة وهذا اخطر الانواع بحيث المخترق عندما يعثر على ثغرة XSS من هذا النوع ف...
قراءة المزيد

Web application Penetration testing

الدخول الى مجال Web Application Penetration Testing اختبار اختراق تطبيقات الويب هو مجال مشوق ويلفت نظر كثير من الاشخاص الذين يفكرون بدخول مجال امن المعلومات بشكل عام فهو مجال مشهور واليوم في هذا المقال سوف نتكلم على كيفية الدخول الى مجال اختبار اختراق تطبيقات الويب 1-المهارات المطلوبة : قبل الدخول باخنبار اختراق تطبيقات الويب يجب علينا امتلاك بعض المهارات وتعتبر هذه الخطوة الخطوة الاولى في جميع المجالات مثلا يجب علينا الالمام ببعض المصطلحات الشائعة عن الويب : ماهو HTTPS , HTTP وما هو الفرق بينهم ماهو الSSL,server,proxy,vpn,domain, انواع السيرفرات مثل apache,IIS وغيرهم في هذه الخطوة سيساعدك موقع Pentesterlab https://pentesterlab.com بمعرفة بعض المصطلحات الهامة وانت بعدها ابحث وطزر من نفسك 2-لغات البرمجة: ومثل اي مجال انت تحتاج الى لفات برمجة تسعدك فيه مثلا مجال برمجة تطبيقات الاندرويد نجد لفة الJava , kotlin المسيطرة في هذا المجال لكن نحن اليوم لا نتكلم عن البرمجة بشكل عام بل نتكلم كيف نوضف البرمدة لخدمتنا في مجال اهتبار اختراق تطبيقات الويب اللغات التي ي...
قراءة المزيد