■ はじめに
パス・ディレクトリに関するセキュリティ攻撃についてまとめる
目次
【1】パス トラバーサル(パスの乗り越え) 【2】パス リスティング(Path Listening)
【1】パス トラバーサル(パスの乗り越え)
パス トラバーサル(パスの乗り越え) / ディレクトリ トラバーサル(Directory Traversal)とは
* 上位ディレクトリへの移動コマンド「../」などで、上位ディレクトリをさかのぼり(横断して = Traversal)、 非公開のディレクトリ・ファイルにの不正アクセスする攻撃
対策
* リクエスト情報として直接ファイルパスを受け渡さないこと * どうしても、受け渡しせざる得ない場合は、 ホワイトリスト(※)を作るなどをして、ファイル名をチェックすること
補足:ホワイトリストとは
* 操作を許可する対象(ファイルなど)のリストである。
参考文献
http://www.atmarkit.co.jp/ait/articles/0305/07/news001.html
http://itpro.nikkeibp.co.jp/article/COLUMN/20070130/260021/?rt=nocnt
【2】パス リスティング(Path Listening)
パス リスティング(Path Listening) / ディレクトリ リスティングとは
* ディレクトリで終わるURLを指定することにより、 その配下のディレクトリ内容(ファイル一覧)を取得する
1)対策
* Apacheなど のディレクトリリスティング無効化する
参考文献
http://www.atmarkit.co.jp/ait/articles/0708/22/news119.html
http://www.websec-room.com/2014/01/17/1569
関連記事
セキュリティ攻撃一覧
https://dk521123.hatenablog.com/entry/2011/07/19/110702
IPに関するセキュリティ攻撃
https://dk521123.hatenablog.com/entry/2016/01/10/031335
DNSに関するセキュリティ攻撃
https://dk521123.hatenablog.com/entry/2016/01/12/115100
