ディレクトリトラバーサル
別名:ディレクトリトラバース,パストラバーサル,Path Traversal
【英】Directory Traversal
【英】Directory Traversal
ディレクトリトラバーサルとは、ネットワーク上の脆弱性を利用した攻撃手法の一種で、「../」を利用してディレクトリを遡り、本来はアクセスが禁止されているディレクトリにアクセスする手法のことである。または、そのような脆弱性のことである。
ネットワーク上でディレクトリのパスを指定する際、「一つ上の階層へ上る」ことを指示する「../」のパスを組み合わせて指定することで、公開されているディレクトリの上階層から、その併置されている非公開のディレクトリへアクセスできてしまう場合がある。このような操作によって、個人情報や機密情報を盗まれたり、悪意あるコードを書き込まれたりといった被害を被る危険性が生じる。
ディレクトリトラバーサルは、パスの指定を制御するための処理の仕方に不備があって万全ではない場合に問題となる。「../」の文字列を無効にするように設定していても、エンコード後に「../」の文字列と等価になる文字列が適切に処理されていなければ、ディレクトリトラバーサルの標的になる危険性がある。ディレクトリトラバーサルへ対応するためには、そういったた処理に万全を期することが重要とされる。
- Path Traversalのページへのリンク
