源服务器频繁使用他们的本地文件系统来管理从有效请求URI到资源表示的映射。大多数文件系统不是为防止恶意文件或路径名称而设计的。因此,在映射请求目标到文件,文件夹或目录时,源服务器需要避免访问对系统有重要影响哪个的名字。
例如,UNIX,Microsoft Windows和其他操作系统使用“..”作为一个路径组件以表明当前目录的上一级目录,并且他们使用特别命名的路径或文件名来发送数据到系统设备。类似的名字约定可能存在其他类型的存储系统中。同样,本地存储系统在处理无效或不期望的字符,分解字符的重新组合以及大小写正规化不区分大小写的名字时,有一个烦人的倾向即偏好用户友好而不是安全。
基于这类特殊名称的攻击倾向于聚焦拒绝服务攻击(例如,例如告诉服务器去从一个COM端口读取)或者暴露配置和不该被用于服务的文件。