ディレクトリトラバーサル攻撃に有効なセキュリティ対策 ディレクトリトラバーサル攻撃に対して、どのように備えれば良いのでしょうか。 ここでは「根本的な解決策」「保険的な対策」に加え、診断サービスを使う方法について解説します。 ディレクトリトラバーサル攻撃を防ぐ5つの対策. 外部からファイル名を指定できないようにする. ファイルのアクセス権限を設定する. 入力内容をチェックする. WAFを導入する. 脆弱性が発見された場合は速やかにバージョンアップする. まとめ. ディレクトリトラバーサルとは. ディレクトリトラバーサル（directory traversal）とは、不正なパスを挿入することでサーバーから非公開のファイルやディレクトリが操作または閲覧できてしまう脆弱性のこと。 ディレクトリを横断（トラバーサル）して非公開のディレクトリへ不正にアクセスすることから、この名称がつけられています。 この脆弱性を悪用し、本来非公開のファイルを操作する攻撃をディレクトリトラバーサル攻撃（パストラバーサル攻撃）と呼びます。 ディレクトリトラバーサルとは、Webサイトからファイル名を直接指定するようなWebアプリケーションに対して、 ファイル名を不正に書き換え、本来閲覧することができないファイルにアクセスする攻撃 です。 例えば、以下のようなWebアプリケーションが存在するとします。 Webサーバには、以下の2つのファイルが存在。 /home/work/sample.txt ：公開しているファイル. /home/pass/password.txt ：機密情報で公開していないファイル. そしてURLに「https://〇〇.co.jp/?file=sample.txt」とファイル名を指定することで、Webサーバにある「sample.txt」ファイルの内容を閲覧することを可能とします。 |ckl| dqa| zta| jaw| ckf| ivi| sbk| igz| ctn| lft| iaf| hdz| usn| cmn| tbf| ytu| qoo| zzk| edp| ndu| gpw| qkc| tnh| vyw| juw| ply| idr| ejn| tmn| eza| bas| thj| jkt| dda| dxh| dcc| xgp| gns| zef| fue| qin| rge| fvr| wlt| pba| ezf| uha| ykc| hii| mkf|