PR
PR
ディレクトリトラバーサルとは
ディレクトリトラバーサルは、アプリが受け取ったファイル名やパスを悪用し、本来許されないサーバ内のファイルに到達する攻撃です。親ディレクトリへ戻る記号「../」や「..\」で想定外の場所へ移動し、閲覧や実行を狙います。
例として、画像表示機能が「file=photo.jpg」をそのままパスに連結していると、攻撃者は「../../etc/passwd」や「..\..\windows\system.ini」を指定して機密情報を読み取れます。OSのパス解決に従い、アプリの用意したフォルダ外へ抜け出す仕組みです。
対策は、ユーザー入力を生のパスに使わないことです。正規化後に許可ディレクトリ配下かを検証し、拡張子や名前を許可リストで制限します。表示対象はIDで指定させ、サーバ側で安全な実パスに変換します。最小権限の設定もあわせて、被害を抑えます。
