Dizin üstü geçiş (directory traversal) saldırısı, bir web uygulamasının belirli dosyalara erişimini kontrol etmeyen veya sınırlamayan bir güvenlik açığından yararlanır. Bu tür bir saldırı, saldırganın web uygulamasının dosya sistemindeki herhangi bir dosyaya erişmesine olanak tanır, genellikle hassas veya korunmasız dosyalar aramaya yönelir.
Bu saldırının temel mantığı, web uygulamasının URL parametreleri aracılığıyla dosya yollarını manipüle ederek kök dizine veya başka üst dizinlere erişmektir. Dizin üstü geçiş, ../ veya benzeri karakterler kullanarak dosya yollarını yukarı yönlendirir ve böylece hedef dosyanın dizin yapısının dışına çıkarak erişim sağlar. Bu teknik, genellikle bir web uygulamasının belirli dosyaları erişilebilir hale getirmesi durumunda kullanılabilir.
Örneğin, bir web uygulaması belirli bir dosyayı indirmek için URL parametrelerini kullanıyorsa ve bu parametreler üzerinde yeterli denetim yapılmamışsa, bir saldırgan bu URL'yi manipüle ederek sunucunun dosya sisteminde bulunan hassas dosyalara erişim sağlayabilir. Bu, genellikle yapılandırma dosyaları, parola dosyaları veya diğer kritik bilgileri içerir.
Dizin üstü geçiş saldırıları, bir web uygulamasının yeterli güvenlik önlemleriyle korunmadığı durumlarda gerçekleşir ve bu tür açıkları test etmek için çeşitli araçlar ve teknikler kullanılabilir. Web güvenlik testlerinde, bu tür açıkların varlığını tespit etmek ve kapatmak, sistemin genel güvenliğini artırmak açısından kritik öneme sahiptir.