ディレクトリトラバーサル

ディレクトリ トラバーサルとは、Webサーバの脆弱性を利用した攻撃手法の1つです。「パス トラバーサル」と言うこともあります。

一般にWebサーバの管理者は、ユーザがアクセスできるディレクトリの範囲を限定するため、特定のディレクトリをアクセス先のトップ ディレクトリとして公開し、その配下に公開対象となるファイル群を配置します。しかしユーザがアクセスするファイルを指定する際に「../」という文字列を追加すると、公開されているディレクトリの親ディレクトリに遡り、非公開のディレクトリへと「横切る（トラバーサル）」ことができる場合があります。このような脆弱性を利用することで、非公開のファイルやフォルダにアクセスし機密情報を不正に入手することが可能になります。ディレクトリ トラバーサルを防止するには、php.ini等の設定によって（PHPを使用している場合）、スクリプトがオープンできるディレクトリに制限をかけておく、といった対処が必要です。

またWebサーバとしてApacheを使用している場合には、http.confの「Indexesオプション」を削除することで、ディレクトリ リスティングを制限することも重要です。ディレクトリ リスティングの表示が可能になっていると、そのディレクトリに含まれるファイルのファイル名がわかり、そのサイトでの命名ルールが推測可能になるため、非公開ディレクトリの探索が容易になるからです。

ディレクトリ トラバーサルのような攻撃は、Webアプリケーション ファイアウォール（WAF）の活用で防御しやすくなります。F5はWAF機能を実装した製品として「F5 BIG-IP Application Security Manager（ASM）」を提供しています。