はじめに
本記事では、ディレクトリトラバーサルとはどのような攻撃か、
この攻撃を受けるとどのような被害が発生するのか、
どのような対策を講じれば防ぐことができるのかを説明します。
ディレクトリトラバーサルとはどのような攻撃か
「トラバーサル」とは横断、という意味です。
ディレクトリトラバーサルは一般には公開されていないディレクトリを参照して
ファイルを閲覧する攻撃手法です。
親ディレクトリを指定した相対パスや絶対パスをサーバへと送ることで実現します。
このことからパストラバーサルとも呼ばれています。
どのような被害が発生するのか
パスワードファイルを盗み見られ、不正ログインされたり、情報を改ざんされたりします。
対策
公開しているファイルにIDを対応させて、IDを指定させる
外部からファイルパスを受け付けないようにする、
ファイル参照に相対パスを指定させない、
不正なアクセスを検知した時点で遮断する
などがあげられます。
おわりに
HTTPヘッダの理解やOS、言語それぞれの特徴を把握することで適切な対応が出来ます。
これらの仕組を学習していき、より深い理解を目指していきます。
読んでいただきありがとうございました。