ディレクトリ・トラバーサル

ディレクトリ・トラバーサルは、ネットワーク上の脆弱性を利用する攻撃手法の一つで、管理者のみが閲覧及び管理できるファイルに不正に侵入し閲覧する手法です。
具体的には、記号「,./」を用いてディレクトリを遡り、管理者が意図しない、アクセス禁止とされた領域への通信をします。

 

被害

サーバ内のファイルを閲覧、改ざん、削除
・情報漏えい
・設定ファイル、データファイル、プログラムのソースコード等を改ざん及び削除

 

注意が必要なWebサイトの特徴

Webページのデザインテンプレートをファイルから読み込む場合や利用者からの入力内容を指定されたファイルへ書き込む等

 

対策

ファイルを開く際に固定のディレクトリを指定し、ファイル名にディレクトリを含まないように工夫
あらかじめ固定のディレクトリを指定し、basename() 等の、パス名からファイル名のみを取り出すAPIを用いて、open(dirname+basename(filename)) のようにコーディングして、filename に与えられたパス名からディレクトリ名を取り除きます。

保険的な対策として、Webサーバ内にあるファイルへのアクセス制限を設定を適正管理することが挙げられます。

Webアプリケーションが任意ディレクトリのファイルを開こうとしても、Webサーバの機能によってそれら不正アクセスの拒絶が成立する場合があります。

 

関連リンク

Web脆弱性診断サービス

CSRF

XSS

SQLインジェクション

OSコマンドインジェクション

ディレクトリ・リスティング

メールヘッダ・インジェクション

HTTPヘッダ・インジェクション

HTML HTML HTML 

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop