情報処理安全確保支援士_ディレクトリトラバーサル

ディレクトリトラバーサル

外部からアクセスされることを想定していない、またはアクセスされたくないファイルやディレクトリを、相対パス指定などでプログラムに表示させ、不正なアクセスをする攻撃手段である。
例えば、"/etc/passwd"といったファイルにはユーザ情報等が記載されているが、"/root/tmp"から相対パス指定で"../../etc/passwd"を参照するようなイメージ。
適切に権限を付けたり、WAFを導入して検知するなど、対策方法は結構あるらしい。

 

- 参考URL

https://www.shadan-kun.com/blog/measure/2587/

https://wa3.i-3-i.info/word15913.html