ディレクトリトラバーサル 【directory traversal】 パストラバーサル / path traversal

概要

ディレクトリトラバーサル（directory traversal）とは、コンピュータシステムへの攻撃手法の一つで、ファイル名を扱うようなプログラムに対して特殊な文字列を送信することにより、通常はアクセスできないファイルやディレクトリ(フォルダ)の内容を取得する手法。

Webアプリケーションなどで、パラメータとして外部からファイル名などの指定を受け付けるような場合に、その文字列の取り扱いに問題があると攻撃対象となる。

オペレーティングシステム（OS）の多くはファイルやディレクトリの所在を記述するパス（path）の記法の一部として、現在のディレクトリ（UNIX系OSやWindowsなどでは「.」）や一階層上の親ディレクトリ（同「..」）、最上位ディレクトリ（先頭に「/」や「￥」）などを意味する特殊な記号の組み合わせが定められている。

攻撃者はこれを悪用し、プログラムに対してディレクトリ階層を移動するようなパスを与えることにより、開発者の想定外の場所にあるファイルやディレクトリへのアクセスを行う。パスワードや個人情報など秘匿されるべき情報が詐取されたり、システム設定の記録されたファイルが改竄・削除されシステム環境が破壊されることもある。