情報セキュリティ講座(101) ディレクトリトラバーサル

公開されていないファイルへのアクセスを行う攻撃です。

Web上でファイルを公開する場合のファイルの格納場所(パス名)を指定する方法として、絶対パスと相対パスがあります。絶対パスは、大元のパス(ルートパス)からフルに指定します。それに対して、相対パスは、現在自分のいるディレクトリからの相対位置で指定します。サイトのメンテ上、上位のディレクトリ名が変わると、絶対パスの場合メンテが大変なので、相対パスの方が便利です。

しかし相対パスは、下位のディレクトリを指定するにはよいのですが、上位のディレクトリも指定できてしまう、という問題があります。

具体的には、../という文字をパス名の前につけると、一つ上のディレクトリを指定したことになります。上位ディレクトリは、公開情報のみが格納されているとは限りません。秘密性のある情報が格納されている場合、それが流出するリスクがあるのです。

対策としては、公開ファイルについては、外部からのパラメータでwebサーバ内のファイル名を直接指定しない、固定のディレクトリ名を使用し、ファイル名にディレクトリ名が含まれても無視する、などが考えられます。

投稿者プロフィール

小笠原 裕
小笠原 裕中小企業診断士 行政書士
バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。