Directory Traversal

Was ist Directory Traversal?

Unter normalen Umständen sind auf einem Webserver viele Ordner und Unterordner mit den enthaltenen Dateien vor dem Zugriff von außen geschützt. Directory Traversal bezeichnet eine Sicherheitslücke in einer Webanwendung oder einem Webserver, die den Zugriff von außen möglich macht. Durch Ausnutzen der Lücke kann ein Angreifer mithilfe der Eingabe von URLs auf Dateien und Verzeichnisse des Servers zugreifen. Interessante Dateien sind dabei unter anderem solche mit persönlichen Daten oder Zugriffsinformationen.

Was ist Forceful Browsing?

Forceful Browsing ist eine alternative Bezeichnung für den Begriff Directory Traversal. Der durch Passwörter geschützte Zugang zu bestimmten Dateien lässt sich mit einem entsprechenden Angriff umgehen. Das Forceful Browsing ist häufig bei Anwendungen mit mehreren Rechte-Ebenen ein Problem. Ein weiteres Problem: Bei beliebten Content Management Systemen sind die Verzeichnisstrukturen und Namen der wichtigen Dateien bekannt, was die Suche nach ungeschützten Webseiten für die Angreifer deutlich erleichtert.

Was ist eine Directory-Traversal-Attacke?

Bei einer Directory-Traversal-Attacke verschafft sich der Angreifer Zugriff auf die gespeicherten Dateien, die sich auf dem Webserver in anderen Verzeichnissen befinden. Damit der Angriff funktioniert, muss durch Eingabe von „../“ die Navigation in die eine Ebene höher liegende Verzeichnisstruktur möglich sein. Richtig programmierte Anwendungen lehnen entsprechend manipulierte URLs ab und verwehren den Zugriff.

Beispiel für eine Directory-Traversal-Attacke

Angenommen, folgende URL führt zur Anzeige einer Datei:

http://www.beispielseite.de/index.foo?item=datei1.html

Über das item-Argument wird eine Datei für die Ausgabe definiert. Wenn das index.foo-Skript den Wert für das Argument unzureichend prüft, liegt eine Directory-Traversal-Schwachstelle vor. Dazu gibt der Angreifer einfach eine andere Datei an, die sogar in einem anderen Verzeichnis liegen kann. Durch Ausprobieren lassen sich so weitere Dateien finden. Besonders alte Backup-Dateien zur Konfiguration sind dabei interessant, die zum Beispiel die Zugangsdaten zur Datenbank oder ähnlich sensible Informationen enthalten können.

Die Rechtslage in Deutschland: Verschafft sich der Angreifer aus so gewonnenen Daten einen Nutzen, liegt bei Durchführung dieser Angriffsart eine Straftat vor.