コネクト株式会社 技術情報コンテンツ | ||
[[セキュリティ指針]] ディレクトリトラバーサル対策説明ディレクトリトラバーサルとは、パスの指定が意図しない範囲まで到達し、本来アクセスできないファイルの情報が漏洩してしまう問題を指す。 被害例上記問題があるサイトにたとえば次のようなURLを送ることで、/etc/passwdファイルが漏洩する例がある。 http://www.example.com/download.php?filename=../../../../etc/passwd 対策以下の文字列をサニタイズする。 ../ もしくは、絶対パスを算出し、正しいディレクトリからダウンロードされているか確認する。 コーディング手法
|