情報セキュリティ講座(101) ディレクトリトラバーサル
公開されていないファイルへのアクセスを行う攻撃です。
Web上でファイルを公開する場合のファイルの格納場所(パス名)を指定する方法として、絶対パスと相対パスがあります。絶対パスは、大元のパス(ルートパス)からフルに指定します。それに対して、相対パスは、現在自分のいるディレクトリからの相対位置で指定します。サイトのメンテ上、上位のディレクトリ名が変わると、絶対パスの場合メンテが大変なので、相対パスの方が便利です。
しかし相対パスは、下位のディレクトリを指定するにはよいのですが、上位のディレクトリも指定できてしまう、という問題があります。
具体的には、../という文字をパス名の前につけると、一つ上のディレクトリを指定したことになります。上位ディレクトリは、公開情報のみが格納されているとは限りません。秘密性のある情報が格納されている場合、それが流出するリスクがあるのです。
対策としては、公開ファイルについては、外部からのパラメータでwebサーバ内のファイル名を直接指定しない、固定のディレクトリ名を使用し、ファイル名にディレクトリ名が含まれても無視する、などが考えられます。