Re: directory traversal -> Verzeichnisüberschreitung
* Sebastian Kapfer <sebastian_kapfer@gmx.net> (Tuesday 2004-11-09 09:32):
> Am Dienstag, den 02.11.2004, 11:10 +0100 schrieb Helge Kreutzmann:
> > Hallo,
> > dieser Ausdruck kommt so ab und zu in den Sicherheitsgutachten vor
> > (z.B. DSA 499), ich würde ihn ins Wiki (unter traversal) eintragen, so
> > es denn keine Widersprüche gibt.
>
> »Durchlaufen« fände ich eigtl. passender.
Sprachlich siedelt sich "to traverse" bei »durchqueren / durchfließen
/ überqueren« an, so dass erst mal natürlich auch »Durchlaufen« Sinn
ergäbe. In DSA 499, denke ich, ist der Zusammenhang aber etwas
anders. »Durchlaufen« würde gut passen, wenn tatsächlich ein
(Verzeichnis-) Baum (u.U. systematisch) durchlaufen würde. Aber es
geht Angreifern wohl eher darum, dass in (u.U. wichtige) Dateien
_außerhalb_ des vorgesehenen Verzeichnisses geschrieben werden kann.
Der vorgesehene Verzeichnisbaum bildet eine Grenze zur Absicherung,
diese kann wegen des Fehlers aber überschritten werden. Ich schließe
mich da Helge an - "Überschreitung" trifft es besser.
Schönen Gruß,
Matthias
Reply to: