Definizione di attraversamento directory
L'attraversamento della directory è una forma di exploit HTTP in cui un hacker utilizza il software su un server Web per accedere ai dati in una directory diversa dalla directory principale del server. Se il tentativo ha esito positivo, l'hacker può visualizzare i file con restrizioni o persino eseguire comandi sul server.
Come l'attraversamento della directory influisce su Android O.S
Directory Traversal all'interno di Android, consente agli aggressori di perpetrare un attacco di attraversamento di percorsi nel contesto di un'applicazione utente e di leggere / scrivere file all'interno della memoria interna.
Esempio di attacco di Android Directory Traversal
Nome app:
ES File Explorer v3.2.4.1 - Vulnerabilità di attraversamento del percorso
Prodotto e amp; Introduzione al servizio:
ES File Explorer è un dispositivo all-in-one gratuito che include un file manager e amp; applicazione e amp; compiti, supporto per gli spazi di archiviazione online (Dropbox, Google Drive, SkyDrive, Box.net, Sugarsync, Yandex, Amazon S3),
CVE-ID:
CVE-2015-1876
Riferimenti (fonte):
Dettagli tecnici e amp; Descrizione:
Una vulnerabilità di Path Traveral Web è stata rilevata nella versione ufficiale dell'applicazione web android ufficiale ES File Explorer v3.2.4.1. La vulnerabilità della sicurezza consente a un utente malintenzionato remoto di richiedere a file locali e percorsi di sistema di dispositivi non autorizzati di compromettere l'applicazione o il dispositivo.
La vulnerabilità si trova nella richiesta di percorso content://com.estrongs.files/system/
con il contesto. La vulnerabilità può essere sfruttata da
attaccanti locali o remoti senza interazione dell'utente. L'autore dell'attacco deve sostituire la richiesta del percorso sdcard nel file com.estrongs.files con a
richiesta di percorso dannoso come ./etc/passwd ./etc/hosts e continua la richiesta. Il vettore di attacco si trova sul lato dell'applicazione del servizio
e la richiesta è http.
La mia domanda
Anche se capisco quale Directory Traversal è e come può avvenire Directory Traversal . Non so quali fattori rendono vulnerabile una selezione di codice Android a tale attacco.