Path Traversal, bzw Directory Traversal Lücken zählen zu den Sicherheitslücken, die es ohne größere Schwierigkeiten erlauben, Informationen offenzulegen, welche nicht für den Besucher vorgesehen sind. Zum Beispiel Konfigurationsdateien, Passwörter, Logindaten usw, der Angreifende muss bei solch einer Attacke nur den Pfad der Dateien wissen, bzw kann diesen auch durch Nutzung von bruteforcing „erraten“.
Internetwache.org entdeckte die Lücke im Quelltext einer Paypalseite, dort wurde auf die Paypal API zugegriffen um Dateien vom Server herunterzuladen und in die Seite einzubinden.
[php]<script src="https://www.paypal.com/de/cgi-bin/webscr?cmd=_getnbinternal&path=netbiscuitsIPhone-1.0.107.js" type="text/javascript"></script>[/php]
lesen Sie weitere Einzelheiten auf Internetwache.org
