ディレクトリ・トラバーサルとは

Tweet

ディレクトリ・トラバーサルとは、Webアプリケーションの脆弱性の一つとして知られる。

Webサイトのページを指定するパスに細工を行うことによって、管理者がユーザーに見せるつもりのないファイルやディレクトリまで閲覧できてしまうこと、またはそういう攻撃が可能となる脆弱性を指す。

相対パスでは、起点となるディレクトリを「.」で、上位ディレクトリを「..」であらわす。例えば「../abc.txt」という記述は、現在のディレクトリの１階層上位にあるディレクトリの中にある「abc.txt」というファイルを指す。

これを悪用し、ファイルを指定する際のパスに「../」などの文字列を挿入すると、本来、アクセスするべきディレクトリの上位に「横断」(＝Traversal)されてしまい、これにより重要なファイルが閲覧されたり上書きされたりする可能性がある。

これが「ディレクトリ・トラバーサル」という脆弱性である。

ディレクトリ・トラバーサルを防ぐためには、パスの文字列に「..」が含まれているかどうかチェックするなどの方法がある。

＜参考＞
・パス名パラメータの未チェック／ディレクトリ・トラバーサル(IPA)