Path Traversal
O Path Traversal (ou Directory Traversal) é um ataque que visa acessar arquivos e diretórios que estão armazenados fora da pasta raiz da aplicação.
Path Traversal no Front-end
Embora seja um ataque clássico de Backend, no Front-end o conceito aparece ao carregar recursos dinâmicos baseados em entrada do usuário, como imagens, arquivos de tradução ou componentes dinâmicos.
- Exemplo de risco:
javascript
const loadProfileImage = (filename) => {
return `/assets/profiles/${filename}`;
}Se um atacante passar ../../etc/passwd como filename, a aplicação pode tentar buscar um recurso fora do diretório esperado.
Melhores Práticas
✅ Como fazer
- Nunca confie em caminhos de arquivos construídos diretamente a partir de entrada do usuário.
- Use uma lista permitida (allowlist) de nomes de arquivos ou IDs.
- Valide se o nome do arquivo contém caracteres perigosos como
..ou/.
❌ Como não fazer
- Não concatene strings de entrada do usuário diretamente em caminhos de arquivos ou URLs de recursos locais.