情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
ディレクトリ・トラバーサルは、ネットワーク上の脆弱性を利用する攻撃手法の一つで、管理者のみが閲覧及び管理できるファイルに不正に侵入し閲覧する手法です。
具体的には、記号「,./」を用いてディレクトリを遡り、管理者が意図しない、アクセス禁止とされた領域への通信をします。
サーバ内のファイルを閲覧、改ざん、削除
・情報漏えい
・設定ファイル、データファイル、プログラムのソースコード等を改ざん及び削除
Webページのデザインテンプレートをファイルから読み込む場合や利用者からの入力内容を指定されたファイルへ書き込む等
ファイルを開く際に固定のディレクトリを指定し、ファイル名にディレクトリを含まないように工夫
あらかじめ固定のディレクトリを指定し、basename() 等の、パス名からファイル名のみを取り出すAPIを用いて、open(dirname+basename(filename)) のようにコーディングして、filename に与えられたパス名からディレクトリ名を取り除きます。
保険的な対策として、Webサーバ内にあるファイルへのアクセス制限を設定を適正管理することが挙げられます。
Webアプリケーションが任意ディレクトリのファイルを開こうとしても、Webサーバの機能によってそれら不正アクセスの拒絶が成立する場合があります。
