【1】パス トラバーサル(パスの乗り越え)
パス トラバーサル(パスの乗り越え) / ディレクトリ トラバーサル(Directory Traversal)とは... * 本来想定したファイルパスを遡って(Traversal, Traversal:横切る)、自由にファイルを読み書きされてしまう攻撃 * 上位ディレクトリへの移動コマンド「../」などを直接指定することで 非公開ファイルにの不正アクセスする攻撃
対策
* リクエスト情報として直接ファイルパスを受け渡さないこと * どうしても、受け渡しせざる得ない場合は、ホワイトリスト(※)を作るなどをして、ファイル名をチェックすること
補足:ホワイトリストとは
* 操作を許可する対象(ファイルなど)のリストである。
参考文献
http://www.atmarkit.co.jp/ait/articles/0305/07/news001.html【2】パス リスティング
パス リスティング(Path Listening) / ディレクトリ リスティングとは... * サーバのディレクトリ内容をリスト表示させてしまう
対策
* Apacheなど のディレクトリリスティング無効化する
参考文献
http://www.atmarkit.co.jp/ait/articles/0708/22/news119.htmlhttp://www.websec-room.com/2014/01/17/1569