Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
This skill should be used when the user asks to \
How to use
Przygotuj środowisko testowe: zainstaluj narzędzia wymagane (Burp Suite lub OWASP ZAP, cURL, ffuf lub wfuzz) oraz wordlisty do automatyzacji testów. Upewnij się, że masz dostęp do przeglądarki z narzędziami deweloperskimi.
Zidentyfikuj punkty wejścia aplikacji, gdzie użytkownik może wpływać na ścieżkę pliku — zazwyczaj parametry URL, ciasteczka lub nagłówki. Poszukaj miejsc, gdzie aplikacja odczytuje lub dołącza pliki na podstawie danych wejściowych.
Testuj sekwencje path traversal, zaczynając od prostych payloadów takich jak
../w celu przejścia o jeden katalog wyżej. Łącz wiele sekwencji, aby dotrzeć do katalogu głównego i uzyskać dostęp do plików poza zamierzonym katalogiem aplikacji.Wykorzystaj narzędzia takie jak cURL do wysyłania żądań z payloadami path traversal i sprawdzenia odpowiedzi. Automatyzuj testy za pomocą ffuf lub wfuzz, aby przeskanować wiele ścieżek jednocześnie.
Dokumentuj znalezione podatności w raporcie, zawierając zidentyfikowane punkty podatne, zawartość wyekstrahowanych plików oraz ocenę wpływu na poufność i integralność danych.
Przygotuj rekomendacje naprawy oparte na bezpiecznym kodowaniu — walidacja i sanityzacja danych wejściowych, użycie białych list dozwolonych ścieżek oraz unikanie bezpośredniego przekazywania danych użytkownika do funkcji operujących na systemie plików.