ディレクトリトラバーサル
【英】Directory Traversal
ディレクトリトラバーサルとは、ネットワーク上の脆弱性を利用した攻撃手法の一種で、「../」を利用してディレクトリを遡り、本来はアクセスが禁止されているディレクトリにアクセスする手法のことである。または、そのような脆弱性のことである。
ネットワーク上でディレクトリのパスを指定する際、「一つ上の階層へ上る」ことを指示する「../」のパスを組み合わせて指定することで、公開されているディレクトリの上階層から、その併置されている非公開のディレクトリへアクセスできてしまう場合がある。このような操作によって、個人情報や機密情報を盗まれたり、悪意あるコードを書き込まれたりといった被害を被る危険性が生じる。
ディレクトリトラバーサルは、パスの指定を制御するための処理の仕方に不備があって万全ではない場合に問題となる。「../」の文字列を無効にするように設定していても、エンコード後に「../」の文字列と等価になる文字列が適切に処理されていなければ、ディレクトリトラバーサルの標的になる危険性がある。ディレクトリトラバーサルへ対応するためには、そういったた処理に万全を期することが重要とされる。
ディレクトリトラバーサル
(Directory Traversal から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/11/30 13:29 UTC 版)
ディレクトリトラバーサル (英語: directory traversal) とは、利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。
- ^
..
は通例ファイルシステムにおいて1つ上の階層(親)のディレクトリを指す。
- 1 ディレクトリトラバーサルとは
- 2 ディレクトリトラバーサルの概要
- 3 ディレクトリトラバーサルを防ぎうる手法
- Directory Traversalのページへのリンク