【セキュリティ】パス・ディレクトリ操作関連

【1】パス トラバーサル(パスの乗り越え)

パス トラバーサル(パスの乗り越え) / ディレクトリ トラバーサル(Directory Traversal)とは...

 * 上位ディレクトリへの移動コマンド「../」などで、上位ディレクトリをさかのぼり(横断して = Traversal)、
   非公開のディレクトリ・ファイルにの不正アクセスする攻撃

対策

 * リクエスト情報として直接ファイルパスを受け渡さないこと
 * どうしても、受け渡しせざる得ない場合は、ホワイトリスト(※)を作るなどをして、ファイル名をチェックすること

補足:ホワイトリストとは

 * 操作を許可する対象(ファイルなど)のリストである。

参考文献

http://www.atmarkit.co.jp/ait/articles/0305/07/news001.html
http://itpro.nikkeibp.co.jp/article/COLUMN/20070130/260021/?rt=nocnt

【2】パス リスティング

パス リスティング(Path Listening) / ディレクトリ リスティングとは...

 * ディレクトリで終わるURLを指定することにより、
   その配下のディレクトリ内容(ファイル一覧)を取得する

対策

 * Apacheなど のディレクトリリスティング無効化する

参考文献

http://www.atmarkit.co.jp/ait/articles/0708/22/news119.html
http://www.websec-room.com/2014/01/17/1569

関連記事

セキュリティ攻撃一覧

http://blogs.yahoo.co.jp/dk521123/25278676.html