缺陷描述
Filesystem path, filename, or URI manipulation ,操控文件系统路径、文件名或 URI。
该缺陷指的是当使用外部的输入来构造一个文件路径时,如果路径中包含有一些特殊字符(… 或者 / 等),导致可以访问到期望目录之外的文件。
举例来说, 如果允许访问 /usr/local/myapp
目录下的文件, 如果构造的路径地址是 /usr/local/myapp/../../../etc/passwd
, 这样访问到的文件就是 /etc/passwd
, 而这个系统文件里面包含了系统用户的相关信息, 如下图所示:
该缺陷的别名有:
- Directory traversal(目录遍历)
- Path traversal(路径遍历)
在CWE中定义的ID是22, 即 CWE-22: Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) , 中文意思是 : 路径名对受限