ディレクトリ・トラバーサルと対策

公開日：2013年3月20日

ディレクトリ・トラバーサルとは、リクエストのパスに不正な内容を指定することで、本来アクセス権のないファイルを閲覧、改ざん、削除されてしまう脆弱性のことです。

■外部からのパラメーターでファイル名を直接指定しない

外部からのパラメーターでファイル名を直接指定すると、パラメーターが改ざんされたり、不正なパスを指定される可能性があるため、ファイル名を指定しない仕様に変更します。例えば、以下のようにします。

■ファイルを開く場合は、固定ディレクトリ＋ファイル名にする

固定ディレクトリのパスに、パラメーターからパスを除いたファイル名を加えてパスを作成するようにします。例えば、入力パラメーターが、「../../../etc/hosts」であれば、「/var/files/」+「hosts」とパスを作成することで、攻撃を無効化します。

■ファイルのアクセス権を正しく設定する

ファイルのアクセス権を正しく設定することで、ファイルへのアクセスを防ぐことができる場合があります。

■ファイル名のチェックを行う

ファイル名に、「/」、「../」、「..\」等のパスで利用する文字列を検出した場合には処理を中止します。但し、チェックのタイミングにより URL エンコードされている場合があるので、タイミングに気をつける必要があります。

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー