Nuevos labs cada semana — Accede a todos desde 5€/mes

>Inicio>Labs>Eventos>Creators>Ranking>Academy>Writeups>Precios
Iniciar SesiónCrear Cuenta

Path Traversal

Alto

Path Traversal / Directory Traversal

Definición

Path Traversal es una vulnerabilidad que permite a un atacante acceder a archivos y directorios fuera del directorio raíz de la aplicación mediante secuencias como ../. El atacante puede leer archivos sensibles del sistema operativo, código fuente de la aplicación o archivos de configuración con credenciales.

Impacto

Lectura de archivos sensibles del sistema (/etc/passwd, /etc/shadow)Acceso a código fuente y archivos de configuraciónObtención de credenciales de bases de datos y APIsEn combinación con upload, posible ejecución remota de código

Ejemplos

Path Traversal básico

Usando secuencias ../ el atacante sube niveles en el sistema de archivos hasta llegar a la raíz y acceder a archivos del sistema. Los bypasses usan doble codificación o secuencias alternativas cuando hay filtros.

# Petición legítima
GET /api/files?name=report.pdf

# Ataque Path Traversal
GET /api/files?name=../../../etc/passwd

# Bypasses de filtros comunes
GET /api/files?name=....//....//....//etc/passwd
GET /api/files?name=%2e%2e%2f%2e%2e%2f%2e%2e%2fetc%2fpasswd
GET /api/files?name=..%252f..%252f..%252fetc%252fpasswd

Referencias externas

OWASP - Path TraversalCWE-22: Path Traversal

Contenido relacionado

Cheatsheet

Cheatsheet Path Traversal

Ver más

Términos relacionados

LFI

Local File Inclusion

XXE

XML External Entity Injection

Command Injection

OS Command Injection

SSRF

Server-Side Request Forgery

Broken Access Control

Broken Access Control / Control de Acceso Roto

Practica Path Traversal con labs reales

Aplica lo que has aprendido en entornos seguros basados en reportes de bug bounty.

Ver labs de práctica