ディレクトリ・トラバーサルの対策は以下の記事を参照してください。
ディレクトリ・トラバーサルと対策
この一部を ASP.NET(C#,VB.NET)で実現すると以下のようになります。
根本的対策
■ファイルを開く場合は、固定ディレクトリ+ファイル名にする
ファイル名を取得後、ディレクトリと結合してパスを作成します。
・C#
using System;
usi...
>>続きを読む
ディレクトリ・トラバーサルの対策は以下の記事を参照してください。
ディレクトリ・トラバーサルと対策
この一部を Java で実現すると以下のようになります。
根本的対策
■ファイルを開く場合は、固定ディレクトリ+ファイル名にする
java.io.Fileクラスを利用してファイル名を取得後、ディレクトリと結合してパスを作成します。
import java.io.File;
...
>>続きを読む
ディレクトリ・トラバーサルとは
ディレクトリ・トラバーサルとは、リクエストのパスに不正な内容を指定することで、本来アクセス権のないファイルを閲覧、改ざん、削除されてしまう脆弱性のことです。
ディレクトリ・トラバーサルの対策
外部からのパラメーターでファイル名を直接指定しない
ファイルを開く場合は、固定ディレクトリ+ファイル名にする
■外部からのパラメーター...
>>続きを読む
例えば、ログインエラーが起きた場合、以下のようなエラーメッセージを表示することはないでしょうか? パスワードが異なります。 これは、見方を変えれば、ユーザー ID は正しいことを攻撃者に伝えていることになります。攻撃者は、ユーザーID を固定して、パスワードの解析を始めるでしょう。 ログインエラーの場合の正しいエラーメッセージの例は以下のようになります。 ユーザー ID または パスワードが異...
>>続きを読む
OS コマンド・インジェクションとは
OS コマンド・インジェクションとは、リクエストパラメーターに OS コマンドを含めることで、Web サーバー上で OS コマンドを実行されてしまう脆弱性です。
OS コマンド・インジェクションがあると、攻撃者が何でも実行できる状態になるため、Webアプリケーションの脆弱性の中でも深刻なものになります。万が一、OS コマンド・インジェクションの...
>>続きを読む