1. 情報セキュリティブログ ホーム
  2. セキュリティ用語解説
  3. ディレクトリ・トラバーサルとは

ディレクトリ・トラバーサルとは

ディレクトリ・トラバーサルとは、Webアプリケーションの脆弱性の一つとして知られる。

Webサイトのページを指定するパスに細工を行うことによって、管理者がユーザーに見せるつもりのないファイルやディレクトリまで閲覧できてしまうこと、またはそういう攻撃が可能となる脆弱性を指す。

相対パスでは、起点となるディレクトリを「.」で、上位ディレクトリを「..」であらわす。例えば「../abc.txt」という記述は、現在のディレクトリの1階層上位にあるディレクトリの中にある「abc.txt」というファイルを指す。

これを悪用し、ファイルを指定する際のパスに「../」などの文字列を挿入すると、本来、アクセスするべきディレクトリの上位に「横断」(=Traversal)されてしまい、これにより重要なファイルが閲覧されたり上書きされたりする可能性がある。

これが「ディレクトリ・トラバーサル」という脆弱性である。

ディレクトリ・トラバーサルを防ぐためには、パスの文字列に「..」が含まれているかどうかチェックするなどの方法がある。

<参考>
パス名パラメータの未チェック/ディレクトリ・トラバーサル(IPA)

セキュリティ用語辞典一覧ページへ

関連キーワード:

ディレクトリ・トラバーサル

  • 「セキュリティかるた」の作成を新人教育の演習に
  • カテゴリートップへ
  • 迷惑メールの2割は米国発!?