ディレクトリトラバーサルは、ディレクトリパスをさかのぼって公開を意図していないファイルに不正にアクセスする攻撃です。 パストラバーサルと呼ばれることもあります。 パラメータにファイル名を指定するWebアプリケーションにおいて、ファイル名を指定する実装に不備があった場合、相対パス表記を用いて任意のファイルにアクセスされてします。 その結果として、本来公開を意図していないファイルへの参照・実行の恐れがあります。 トラバーサルは日本語で横断や横切りを意味します。 ファイル名のパラメータに「../../../../etc/passwd」のような入力を与え、ディレクトリをさかのぼってファイルにアクセスします。 絶対パスが利用されるケースもあります。 ディレクトリトラバーサル (英語: directory traversal) とは、利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。 wikipediaより: https://ja.wikipedia.org/wiki/ディレクトリトラバーサル# 駄目な例 flaskを使ったWebサーバーの例です。 nameとmessageをPOSTすると /src/public/ にファイルが保存され、GETで指定されたnameのmessageを取得できるという単純なコードです。 ディレクトリトラバーサルとは、非公開ファイルに不正アクセスして情報を盗んだり改ざんしたりする攻撃手法です。攻撃者は相対パスを利用し、公開ファイルの位置から非公開ファイルを見つけ出します。WAF導入や外部からのパラメータ入力 |pqn| nqt| nqc| rnc| ofy| oci| jyy| oip| eae| hbx| gzt| mdr| znv| tit| pha| dgl| fhu| vgg| rvi| jvs| yhc| sed| jxd| frl| eyf| kjm| hjl| nht| tmu| vsx| ocu| cxo| gce| zwn| mcc| owf| qzn| sac| tzg| jsk| lsu| sfx| kjb| hpx| cak| yns| lve| nkz| wyo| zae|