Solucionado
Se a URL não possui parâmetros, não é possível realizar o ataque? Por exemplo, diretamente "www.aaa.com.br" e tentar acessar o diretório com ../etc/passwd não seria possível?
Todos os testes de inclusão de arquivos só é possível através de uma url com parâmetro ou existem outros meios?
hoje, com a Alura e o Google Gemini
Oi, Larissa!
O ataque de Path Traversal geralmente é mais comum em URLs que aceitam parâmetros, pois é através desses parâmetros que você pode tentar manipular o caminho do arquivo. No entanto, isso não significa que é impossível realizar o ataque em URLs sem parâmetros.
Por exemplo, se a aplicação web tem uma funcionalidade que carrega arquivos baseados em um caminho específico que é construído internamente, sem aparecer na URL, ainda pode ser vulnerável.
Imagine que a aplicação tenha uma funcionalidade que carrega um arquivo de configuração padrão, como "www.aaa.com.br/config". Se a aplicação internamente concatena o caminho do arquivo com base em uma variável ou entrada do usuário, ainda pode haver uma vulnerabilidade de Path Traversal.
Aqui está um exemplo prático:
"/home/user/" + user_id + "/config".user_id puder ser manipulado de alguma forma, você pode tentar algo como ../../etc/passwd.Portanto, mesmo sem parâmetros explícitos na URL, ainda é possível que a aplicação seja vulnerável se não houver uma validação adequada dos caminhos de arquivos internamente.
Bons estudos!