Chúng ta đã biết về các lỗ hổng information disclosure - khiến trang web tiết lộ một số thông tin nhạy cảm. Ở bài viết này tôi muốn giới thiệu tới các bạn một dạng lỗ hổng có thể nói là nâng cao của Information disclosure vulnerabilities - Lỗ hổng Directory traversal (một số tài liệu còn gọi là Path traversal vulnerabilities). Vì sao lại là nâng cao ư? Vì nó cũng có điểm chung là khiến kẻ tấn công có thể đọc nội dung các tệp tin ngoài quyền hạn truy cập. Trong lỗ hổng này kẻ tấn công thường có thể thao tác để đọc nội dung tệp tin tại các thư mục theo ý muốn, phạm vi tiết lộ thông tin lớn hơn, thậm chí là toàn bộ tệp tin trong server. Với lượng lớn thông tin thu thập được như vậy sẽ là một bước "khởi đầu" vô cùng suôn sẻ cho kẻ xấu. Hãy cùng Viblo khám phá về dạng lỗ hổng này nhé!