ディレクトリトラバーサルとは？

詳細解説

ディレクトリトラバーサル（Directory Traversal）は、Webアプリケーションやファイル操作機能の脆弱性を悪用し、「../」（親ディレクトリへの参照）などの特殊文字列をファイル名・パスの入力値に挿入することで、Webサーバーのアクセス制限外にある任意のファイルを読み取る攻撃手法です。パストラバーサル攻撃（Path Traversal Attack）とも呼ばれます。攻撃の具体例：Webアプリが「https://example.com/download?file=report.pdf」のようにファイル名をURLパラメータで受け取る場合、攻撃者が「file=../../../../etc/passwd」と入力すると、Webroot外のLinuxシステムファイル（/etc/passwd=ユーザー一覧）を取得できてしまいます。被害の内容は設定ファイル（データベース接続情報・APIキー等）の漏洩・システムファイルの参照・ソースコードの漏洩・認証情報の窃取などです。対策はユーザー入力のパス正規化（../の除去・エスケープ処理）・ホワイトリスト方式によるファイル名検証・アクセス可能なディレクトリをChroot等で制限・Webサーバープロセスの最小権限設定です。OWASP Top 10では「A01: Broken Access Control」の代表的な攻撃パターンの一つとして挙げられています。ITパスポート試験では「ディレクトリトラバーサルの仕組み」「パス正規化による対策」「アクセス制御との関係」が出題されます。

ITパスポートでの出題ポイント

• 1../を使って公開ディレクトリ外のファイルを不正取得する攻撃
• 2設定ファイル・認証情報・システムファイルの漏洩が主な被害
• 3対策はパス正規化（../除去）とホワイトリスト検証
• 4OWASP Top 10「壊れたアクセス制御」の代表的な攻撃

関連用語