はじめに
本記事では、ディレクトリトラバーサルとはどのような攻撃か、 この攻撃を受けるとどのような被害が発生するのか、 どのような対策を講じれば防ぐことができるのかを説明します。
ディレクトリトラバーサルとはどのような攻撃か
「トラバーサル」とは横断、という意味です。 ディレクトリトラバーサルは一般には公開されていないディレクトリを参照して ファイルを閲覧する攻撃手法です。 親ディレクトリを指定した相対パスや絶対パスをサーバへと送ることで実現します。 このことからパストラバーサルとも呼ばれています。
どのような被害が発生するのか
パスワードファイルを盗み見られ、不正ログインされたり、情報を改ざんされたりします。
対策
公開しているファイルにIDを対応させて、IDを指定させる 外部からファイルパスを受け付けないようにする、 ファイル参照に相対パスを指定させない、 不正なアクセスを検知した時点で遮断する などがあげられます。
おわりに
HTTPヘッダの理解やOS、言語それぞれの特徴を把握することで適切な対応が出来ます。 これらの仕組を学習していき、より深い理解を目指していきます。 読んでいただきありがとうございました。