// 広告ブロックによる損失収益の回復 広告ブロックによる損失収益の回復 // 広告ブロックによる損失収益の回復 エラー保護のメッセージ 省略可

【情報処理安全確保支援士】ディレクトリトラバーサルとは?

ディレクトリトラバーサル(Directory Traversal)の解説ページです。情報処理安全確保支援士では、令和4年度 春期 午後Ⅰ問2で出題されました。

ディレクトリトラバーサルとは?

ディレクトリトラバーサル(Directory Traversal)は、不正なパラメタを送信し、アクセスが許可されていないWebサーバ上の非公開のファイルにアクセスする攻撃です。

別名、パストラバーサル(Path Traversal)とも呼ばれます。

発生しうる被害

  • 個人情報や機密情報の窃取
  • 悪意あるコードの書き込み

パストラバーサルの対策

  • 「../」のような相対パスや、「/」から始まる絶対パス指定を禁止し、ファイル名を直接指定させない
  • ファイル名として、使用可能な文字列以外をエラーにする
  • 他のディレクトリへのアクセスを制限する
  • パス名の正規化を行う

パス名の正規化とは?

「../」のような相対パスで記述されたパス名を、相対パスを含まない形式に変換することです。

手順としては、URLデコード(復号化)を行った後に、パス名の正規化を行います。

タイトルとURLをコピーしました