ディレクトリトラバーサル
ディレクトリトラバーサルとは、アクセスを想定していない非公開情報が保存されているディレクトリにアクセスするサイバー攻撃です。
目次
ディレクトリトラバーサルの概要
ディレクトリトラバーサルは、Webサーバの非公開ファイルにアクセスを行う攻撃手法です。
トラバーサルには「横断」の意味があります。閲覧可能な公開ファイルから非公開ファイルに横断することが呼称の由来です。
ディレクトリトラバーサルによる影響
ディレクトリトラバーサルによる影響として、以下のようなものが考えられます。
ディレクトリトラバーサルの影響
- 情報漏洩
- アカウントのなりすまし
- Webサイトの改ざん など
将来的に公開予定の機密情報にアクセスされ、情報漏洩につながったり、管理者ページにアクセスされ改ざん・なりすましをされたりするリスクがあります。
ディレクトリトラバーサルの対策
ディレクトリトラバーサルを防ぐ手段として、以下のようなものがあげられます。
ディレクトリトラバーサルの対策
- パラメータの外部入力によるファイル指定機能の実装回避
- 相対パスが入り込まないファイル参照設定
- WAFを導入する
スポンサーリンク
ディレクトリトラバーサルの関連語
ディレクトリトラバーサルの関連語を確認しておきましょう。
ディレクトリ
ディレクトリとは、階層構造をもったファイルを保管する場所の総称です。
絶対参照
絶対参照とは、ディレクトリにフルパスを入力して呼び出すことです。
「C:Users\Public\test.txt」などが該当します。
相対参照
相対参照とは、現在参照中の場所と位置関係で表した相対パスを入力して呼び出すことです。
「..\test.txt」などと表現します。
ディレクトリトラバーサルまとめ
ディレクトリトラバーサルは大企業でも被害にあうケースが散見されます。
攻撃手法だけでなく、対策方法も併せて確認しておきましょう。
