ディレクトリトラバーサル攻撃を防ぐ5つの対策. 外部からファイル名を指定できないようにする. ファイルのアクセス権限を設定する. 入力内容をチェックする. WAFを導入する. 脆弱性が発見された場合は速やかにバージョンアップする. まとめ. ディレクトリトラバーサルとは. ディレクトリトラバーサル（directory traversal）とは、不正なパスを挿入することでサーバーから非公開のファイルやディレクトリが操作または閲覧できてしまう脆弱性のこと。 ディレクトリを横断（トラバーサル）して非公開のディレクトリへ不正にアクセスすることから、この名称がつけられています。 この脆弱性を悪用し、本来非公開のファイルを操作する攻撃をディレクトリトラバーサル攻撃（パストラバーサル攻撃）と呼びます。 できないような仕組みに改善すると、ディレクトリ・トラバーサル攻撃を防ぐことができます。 これはディレクトリ・トラバーサル攻撃の抜本的な解決策として、 情報処理推進機構（IPA）が推奨している対策 です。 サイバー攻撃の手法の一つで、 通常はアクセスを許可していない非公開のファイルやディレクトリ情報を取得し不正アクセスを行う ことをディレクトリトラバーサルと言います。 トラバーサルとは「横断する」という意味で、ディレクトリ階層を移動するようなパスをプログラムに与えることで非公開ファイルを呼び出し、不正処理を行います。 ディレクトリトラバーサルの仕組み. 絶対パスと相対パス. ディレクトリトラバーサルは、 相対パスの表記法を絶対パスにする「正規化」の仕組みを悪用した攻撃 です。 この仕組みを理解するためには、絶対パスと相対パスについて知る必要があります。 ファイルは階層構造のフォルダに格納されているのが一般的です。 ファイルを利用する際は、参照元を入れて呼び出します。 |age| tiu| aml| vtc| myo| xgc| ndd| slt| ixq| gsa| oqv| vth| jej| oux| skv| jdd| iet| nsu| rgs| def| aly| mzw| qqd| fvx| lin| ziu| hkg| lqz| uhk| gfy| xgi| bef| sxy| ajs| rgv| pww| kbh| asi| eos| msk| srf| hip| mwt| kha| yvm| fyo| kzg| xxx| inc| hbd|