Top > Path Traversal
  • The added line is THIS COLOR.
  • The deleted line is THIS COLOR.
  • Go to Path Traversal.

#freeze
[[Web Application]]

*Path Traversal (パストラバーサル) [#a2968731]
**解説 [#z23386ea]
パストラバーサルとは、WebアプリケーションのURLやそのパラメータに特定の文字列を与えることで、非公開のディレクトリやファイルにアクセスできてしまう脆弱性のことです。~
~
画面表示やメール送信用のテンプレートファイルのパスやファイル名を、外部から送信された値により決定する実装の場合に脆弱性が存在する可能性があります。~
-ファイルアップロード&ダウンロード処理
-テンプレートによるHTML生成処理
#br
**対策 [#n12845e0]
-&color(red){''ファイル名やディレクトリパスを、外部から入力された値から生成しない。''};~
Webアプリケーションの仕様上、ユーザーの入力した値に基づいて動的にファイル名を生成する必要がある場合、ファイル名自体はテキストファイルやデータベースに保存しておき、ブラウザのフォームからは、保存済みのファイル名を検索するためのキーを送信する設計にしてください。~
ただし、この設計を採用する場合は、別のユーザーに関連付けられているファイル名を生成しないよう、適切なアクセス制御を行う必要があります。

#br
**関連項目 [#h6d90d92]
:Directory Traversal|Path Traversalと意味は同じ。

**参考 [#l164b162]
-[[Path Traversal - OWASP>http://www.owasp.org/index.php/Path_Traversal]]
-[[[Path Traversal] Threat Classification - Web Application Security Consortium>http://www.webappsec.org/projects/threat/classes/path_traversal.shtml]]
-[[Unicode Web Traversal>http://bakera.jp/glossary/0055006e00690063006f006400650020005700650062002000540072006100760065007200730061006c]]~
IISに存在した脆弱性。UTF-8に固有の問題。

----

#htmlinsert(SB_PathTraversal)

Reload   Unfreeze Diff Copy Rename   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes