セキュリティ診断項目解説

title1

セキュリティ診断項目の例を一部解説いたします。セキュリティリスク回避にご利用ください。



パス名トラバーサル

概要

 「パス名トラバーサル」とは、読み出し、変更、削除など操作対象のファイルを、ユーザの入力を元に動的に変更しているWebサイトにおいて、攻撃者によってサーバ内のファイルパスが挿入されることによって、想定外のファイルやディレクトリに対して操作が行われる攻撃です。

1:攻撃者は、サーバ内のファイルパスを含んだ入力を行います。
2:Webサイト内部では、攻撃者が指定したファイルパスを含んだファイルパスが生成され、
3:そのファイルに対する操作が行われます。
4:攻撃者が、機密情報の記録されているファイルを指定した場合、その機密情報が盗まれる可能性があります。


・注意を要するWebサイト

コンテンツのダウンロード機能など、ユーザの入力値を元に、読み出し、変更、削除など操作対象のファイルを動的に変更しているWebサイトで注意が必要です。

ディレクトリ・トラバーサル

パス名トラバーサル

脅威・発生しうるリスク

 攻撃者によって「パス名トラバーサル」が実行された場合、次のような被害を受ける可能性があります。

・機密情報の漏えい

 攻撃者によってファイルの読み出し処理を行っている箇所で「パス名トラバーサル」が行われると、Webサーバ内の任意のファイルの内容が読み出され、保存されているパスワードや個人情報など、機密情報が漏えいする可能性があります。

・システムやデータの破壊・改ざん

 攻撃者によってファイルの変更・削除処理を行っている箇所で「パス名トラバーサル」が行われると、Webサーバ内の任意のファイルが改ざん・削除される可能性があります。攻撃者にWebサイトの設定ファイルなどシステムの設定情報を改ざんされると、Webサイトの誤動作、Webサイトの停止などサービスを提供に影響が及ぶ可能性があります。



ページトップにWebアプリケーション診断へ戻る


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ