Webセキュリティの小部屋

ディレクトリ・トラバーサルの対策は以下の記事を参照してください。

• ディレクトリ・トラバーサルと対策

この一部を PHP で実現すると以下のようになります。

根本的対策

■ファイルを開く場合は、固定ディレクトリ＋ファイル名にする
basename 関数を利用してファイル名を取得後、ディレクトリと結合してパスを作成します。

<?php
  $DIRECTRY_PATH = "/var/files/";

  //ファイル名取得
  $fileName = basename("../../../etc/passwd");
  
  //パス結合
  $path = $DIRECTRY_PATH . $fileName;
?>
<html>
<body>
<?php echo htmlspecialchars($path, ENT_QUOTES, "UTF-8"); ?>
</body>
</html>

実行結果は以下のようになります。

/var/files/passwd

保険的対策

■ファイル名のチェックを行う
正規表現で、パスに含まれる「/」、「../」、「..\」をチェックします。

<?php
  //ファイル名
  $fileName = "../../../etc/passwd";

  //正規表現でチェック
  $result = 
    preg_match('/(\.\.\/|\/|\.\.\\\\)/', $fileName) ? "true" : "false";

?>
<html>
<body>
<?php echo htmlspecialchars($result, ENT_QUOTES, "UTF-8"); ?>
</body>
</html>

実行結果は以下のようになります。

true

参考

Webアプリケーションセキュリティに関する記事は、以下のページにまとまっています。ぜひご確認ください。

Webセキュリティの小部屋

Webアプリケーションセキュリティ対策

https://www.websec-room.com/webappsec

Webアプリケーションセキュリティの基本 セキュリティ対策の学習は信頼できる情報源から 脆弱性対策はなぜ必要か インターネットの基本的な仕組み ブラウザのデータと Web サーバーのデータを区別する 重要情報はブラウザに持たない 入力値は必ずサーバー側でチェックする エラーメッセージの表示内容に注意する  HTTP の仕組み HTTP の基本 HTTP はステートレス Cookie の仕組み セッション管理機能 重要情報は POST で送信する  パスワードの管理 パスワードを平文で保存しない なぜパスワードを保護す...

カテゴリー:Webアプリケーションセキュリティ対策