ディレクトリトラバーサル【directory traversal】パストラバーサル/path traversal
概要
Webアプリケーションなどで、パラメータとして外部からファイル名などの指定を受け付けるような場合に、その文字列の取り扱いに問題があると攻撃対象となる。
オペレーティングシステム(OS)の多くはファイルやディレクトリの所在を記述するパス(path)の記法の一部として、現在のディレクトリ(UNIX系OSやWindowsなどでは「.」)や一階層上の親ディレクトリ(同「..」)、最上位ディレクトリ(先頭に「/」や「¥」)などを意味する特殊な記号の組み合わせが定められている。
攻撃者はこれを悪用し、プログラムに対してディレクトリ階層を移動するようなパスを与えることにより、開発者の想定外の場所にあるファイルやディレクトリへのアクセスを行う。パスワードや個人情報など秘匿されるべき情報が詐取されたり、システム設定の記録されたファイルが改竄・削除されシステム環境が破壊されることもある。
(2019.8.23更新)
「ディレクトリトラバーサル」の関連用語
他の用語辞典による「ディレクトリトラバーサル」の解説 (外部サイト)
- ウィキペディア「ディレクトリトラバーサル」
- SOMPO CYBER SECURITY サイバーセキュリティ用語集「ディレクトリトラバーサル」
- ESETマルウェア情報局 キーワード事典「ディレクトリトラバーサル」
- 東京海上日動 Tokyo Cyber Port 用語集「ディレクトリトラバーサル」
- ITパスポート用語辞典「ディレクトリトラバーサル」
- JavaA2Z「ディレクトリトラバーサル」
- マンガで分かるプログラミング用語辞典「ディレクトリトラバーサル」
- サイバー攻撃大辞典「ディレクトリトラバーサル」
- WhatIs.com (英語)「directory traversal」
- Techopedia (英語)「Directory Traversal」
資格試験などの「ディレクトリトラバーサル」の出題履歴
▼ 基本情報技術者試験
【令1修12 問37】 ディレクトリトラバーサル攻撃に該当するものはどれか。
【平30修7 問38】 ディレクトリトラバーサル攻撃に該当するものはどれか。
【平29春 問37】 ディレクトリトラバーサル攻撃に該当するものはどれか。
【平29修1 問36】 ディレクトリトラバーサル攻撃はどれか。
【平27修12 問39】 ディレクトリトラバーサル攻撃に該当するものはどれか。
【平26秋 問44】 ディレクトリトラバーサル攻撃に該当するものはどれか。
【平25修7 問45】 ディレクトリトラバーサル攻撃に該当するものはどれか。
【平24春 問45】 ディレクトリトラバーサル攻撃に該当するものはどれか。
【平22修7 問46】 ディレクトリトラバーサル攻撃に該当するものはどれか。
共有ボタンをタップ