To atak, w którym napastnik manipuluje parametrami wejściowymi końcówki API lub zapytania reprezentującymi ścieżkami do plików tak, aby uzyskać dostęp do zasobów poza zamierzonym katalogiem aplikacji (np. plików systemowych lub konfiguracji), co może prowadzić do wycieku danych.