情報処理安全確保支援士_ディレクトリトラバーサル
外部からアクセスされることを想定していない、またはアクセスされたくないファイルやディレクトリを、相対パス指定などでプログラムに表示させ、不正なアクセスをする攻撃手段である。
例えば、"/etc/passwd"といったファイルにはユーザ情報等が記載されているが、"/root/tmp"から相対パス指定で"../../etc/passwd"を参照するようなイメージ。
適切に権限を付けたり、WAFを導入して検知するなど、対策方法は結構あるらしい。
- 参考URL