ディレクトリ トラバーサル (「パス トラバーサル」とも呼ばれる) は、Web サーバーおよび Webapplications内の脆弱性を悪用するサイバー攻撃の手法です。
通常、Web サーバー管理者は、ユーザーがアクセスできるルート ディレクトリを指定し、ユーザーがアクセスできるファイルを特定のサブディレクトリに制限します。 ただし、ファイル名やパスを指定するユーザー入力が適切にサニタイズされていない場合、攻撃者は「../」などの特別に細工されたシーケンスを悪用して、親ディレクトリまで上方に移動(トラバース)する可能性があります。 このような脆弱性により、悪意のあるユーザーが意図したディレクトリから抜け出し、機密ファイルや隠しファイル、ディレクトリに不正アクセスことができ、情報の漏洩やシステムの侵害につながる可能性があります。
ディレクトリ トラバーサル攻撃を防ぐために、Web 管理者は、applicationスクリプトからアクセスできるディレクトリを制限するなどのセキュリティ対策を実装する必要があります (たとえば、PHP の "php.ini" ファイルで 'open_basedir' 設定を構成して、ファイルのインクルード パスを制限するなど)。 Apache などの Web サーバーを使用する場合、ディレクトリの一覧表示を防止するには、「httpd.conf」ファイルの「Indexes」オプションを削除するか無効にすることが重要です。 ディレクトリ リストを使用すると、攻撃者はディレクトリの内容を確認できるため、命名パターンが公開され、さらなる悪用の試みが容易になります。
さらに、Webapplicationファイアウォール (WAF) を使用することで、ディレクトリ トラバーサル攻撃を効果的に軽減できます。 F5 は、 F5 BIG-IP Application Security Manager (ASM)で強力な WAF 機能を提供しており、パス トラバーサルや同様の Web 脆弱性からの保護に役立ちます。