Top > Path Traversal

Web Application

Path Traversal (パストラバーサル)

解説

パストラバーサルとは、WebアプリケーションのURLやそのパラメータに特定の文字列を与えることで、非公開のディレクトリやファイルにアクセスできてしまう脆弱性のことです。

画面表示やメール送信用のテンプレートファイルのパスやファイル名を、外部から送信された値により決定する実装の場合に脆弱性が存在する可能性があります。

  • ファイルアップロード&ダウンロード処理
  • テンプレートによるHTML生成処理
     

対策

  • ファイル名やディレクトリパスを、外部から入力された値から生成しない。
    Webアプリケーションの仕様上、ユーザーの入力した値に基づいて動的にファイル名を生成する必要がある場合、ファイル名自体はテキストファイルやデータベースに保存しておき、ブラウザのフォームからは、保存済みのファイル名を検索するためのキーを送信する設計にしてください。
    ただし、この設計を採用する場合は、別のユーザーに関連付けられているファイル名を生成しないよう、適切なアクセス制御を行う必要があります。
 

関連項目

Directory Traversal
Path Traversalと意味は同じ。

参考



Reload   Unfreeze Diff Copy Rename   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes
Last-modified: Sun, 09 Jun 2013 21:39:13 HADT (2266d)