【ディレクトリ・トラバーサルとは】
外部からファイル名を指定するWebサイトにおいて、悪意のあるユーザーに任意ファイルを指定されてしまい公開されていないファイルを参照・削除・改善が行われてしまう事。
【注意が必要なサイト】
外部からパラメータにファイル名を指定する事ができるWebサイト
【対策】
- 外部からパラメータにファイル名を指定しない。
ファイル名ではデータベース上に登録されているファイルIDなどを使用する。
ファイル名を指定する事が本当に必要か、設計・仕様を見直すこともおすすめ。 - ファイルを開く時は固定のディレクトリーとし、ファイル名が含まれないようにする。
外部からパラメータにファイル名を指定する場合は、ファイル名にはディレクトリー名が含まれないようにする。
つまり、\・/などのディレクトリーに使用する文字列は含まないようにする。
加えてアクセスするディレクトリーはユーザーが指定するのではなく、固定にしておく。
【参考】