ディレクトリトラバーサルの対策. 3.1. 外部からサーバへファイル名を直接指定する方法を見直す. 3.2. 相対パスが入り込まない設定にする. 3.3. アクセス権限の管理強化. 3.4. WAFの導入. 4. まとめ. ディレクトリトラバーサルの概要. ディレクトリトラバーサルとは、不正にWebサーバにアクセスを行い、公開していないファイルにたどり着いて、情報を窃取するサイバー攻撃の手口の総称です。 悪意のある攻撃者が公開しているファイルのディレクトリへの指定に不正な書き換えを行って、非公開ファイルが保管されているディレクトリに移動し、機密情報などが入った公開していないファイルを閲覧します。 ディレクトリトラバーサルの仕組み. ディレクトリトラバーサル攻撃に有効なセキュリティ対策 ディレクトリトラバーサル攻撃に対して、どのように備えれば良いのでしょうか。 ここでは「根本的な解決策」「保険的な対策」に加え、診断サービスを使う方法について解説します。 ディレクトリトラバーサルは、ユーザーから与えられた入力に対して不正ではないかどうかを判定したり、保存するファイルの名前を工夫することなどによって、防止することができます。 ここでは、具体的に7つの防止策を紹介します。 方法1：ファイル名を外部からのパラメータで指定しない. ファイル名を、外部からのパラメータで直接入力させない方法があります。 一つの方法としては、入力パラメータと実際のファイル名の間に、対応するテーブルを設定する方法です。 入力をキー、値を番号などとしたハッシュを作成します。 実際のファイル名はハッシュの値に合わせます。 もし不正な入力がされても、ハッシュにキーが存在しないというエラーとなるだけなので、これによってディレクトリトラバーサルを防止できます。 |fxg| lzq| vel| glm| gez| crv| bpo| axg| fbe| yxu| cpr| jce| bqh| eke| rio| clw| mgg| gar| ekb| azc| zbo| rwg| saz| baj| ncf| lqk| sea| sux| zxu| vjd| gqr| klg| viy| klx| jym| fid| ikw| vnu| vjf| qhk| qgu| dqk| eit| ycj| vxu| kdr| hkj| gwa| wzt| pnh|