本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

ディレクトリトラバーサル

ディレクトリトラバーサルは、パス指定を悪用して公開範囲外のファイルを読ませる攻撃です。

もう少し詳しく

URLや入力値に../のような相対パスを混ぜ、Webアプリが想定していない上位ディレクトリのファイルを参照させます。設定ファイル、パスワードファイル、ソースコードなどが漏れる危険があります。入力値検証やアクセス可能なディレクトリ制限が対策です。

試験での見方

黒猫の闇の刻印

../、パス名、公開ディレクトリ外のファイル閲覧が出たらディレクトリトラバーサルです。SQLインジェクションやXSSとは狙う対象が違います。

例:download?file=../../../etc/passwd のような指定で、サーバ上の重要ファイルを読もうとします。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:情報セキュリティ

関連トピック:攻撃手法

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

DNS キャッシュポイズニング IP スプーフィング OS コマンドインジェクション SQLインジェクション セッションハイジャック

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ