cyphersec A blog about Web Application Security and .NET development best practices

Traversal Path Fun

Download (7.71kb)

Traversal Path Fun è un applicativo per  l'automatizzazione del recupero files da siti che soffrono della vulnerabilità "Path Traversal"

Scritto in C# utilzza massivamente gli oggetti WebRequest / WebResponse per le interrogazioni.

Al momento è stato testato unicamente su siti riportati nell'advisory del 11 Settembre 2007 (Advisory: lanuovastagione.it ed altri [xss e le credenziali amministrative in chiaro).

L'archivio si compone dei seguenti files

• MainForm.cs
• MainForm.Designer.cs
• TPF.exe
• MostCommonFiles/commonfiles.txt

Nel file commonfiles.txt sono presenti i percorsi d'interrogazione dell'applicativo, ovvero, le pagine che il programma tenterà di recuperare tramite l'uso di componenti non verificati da parte dell'applicativo vulnerabile. Naturalmente, è possibile modificare questi termini di ricerca a proprio piacimento in base al sito vulnerabile rilevato.

About Alessio Marziali

Alessio Marziali (MCTS) is a Security Consultant with 9 years of experience developing secure applications with Microsoft .NET in a variety of sectors in UK and Italy. Published technical author with two ASP.NET books currently available for purchase and OWASP Code Crawler Project Leader.