Что такое directory traversal и как тестировать?

Directory traversal (Path Traversal) — используем ../ для выхода за пределы разрешённой директории. Пример: /api/files/../../etc/passwd или /api/download?file=../../../etc/passwd. Цель: читать произвольные файлы на сервере. Тестируем: все параметры принимающие имя файла или путь, пробуем ../, ..\\ (Windows), URL encoding: %2e%2e%2f, двойное encoding: %252e%252e%252f. Защита: канонизация пути + проверка что результат внутри разрешённой директории, whitelist разрешённых имён.