ディレクトリトラバーサル(Directory Traversal)の解説ページです。情報処理安全確保支援士では、令和4年度 春期 午後Ⅰ問2で出題されました。
ディレクトリトラバーサルとは?
ディレクトリトラバーサル(Directory Traversal)は、不正なパラメタを送信し、アクセスが許可されていないWebサーバ上の非公開のファイルにアクセスする攻撃です。
別名、パストラバーサル(Path Traversal)とも呼ばれます。
発生しうる被害
- 個人情報や機密情報の窃取
- 悪意あるコードの書き込み
パストラバーサルの対策
- 「../」のような相対パスや、「/」から始まる絶対パス指定を禁止し、ファイル名を直接指定させない
- ファイル名として、使用可能な文字列以外をエラーにする
- 他のディレクトリへのアクセスを制限する
- パス名の正規化を行う
パス名の正規化とは?
「../」のような相対パスで記述されたパス名を、相対パスを含まない形式に変換することです。
手順としては、URLデコード(復号化)を行った後に、パス名の正規化を行います。
