勉強前イメージ
トラバーサルって横断とか横切りだけど、ディレクトリを横切る??
調査
ディレクトリトラバーサル とは
webサーバの非公開のディレクトリにアクセスを行う攻撃方法です。
webサーバの中でも公開している箇所はごく一部でその他のディレクトリは公開を許可していません。
その許可していないディレクトリにアクセスを行う攻撃方法ですが、公開しているディレクトリから横断するという意味で
ディレクトリトラバーサルと呼ばれています。
典型的にはパラメーターなどで外部からファイル名の指定をしてアクセスする場合に攻撃対象になります。
相対パスで親ディレクトリなどへアクセスを行います。
../ の指定で一階層上のディレクトリへ移動できるので、それを利用してパスワードを見られたり
他の必要なディレクトリやファイルを削除される場合があります。
また、機密情報の漏洩で社会的な損失の可能性もあります。
そうならないために、相対パスでの指定をなくすか
または、相対パスのチェックやハッシュ化などを行うことでディレクトリトラバーサルを防ぐことが出来ます。
勉強後イメージ
よく聞くけど、こういう言葉あるって知らなかった