ディレクトリトラバーサル

Directory Traversal 攻撃手法

../を使ってWebサーバー上の機密ファイルを不正取得する攻撃。

概要

ディレクトリトラバーサル(パストラバーサル)は、ファイル名を扱うパラメータに `../` などの相対パス記号を混入させ、本来アクセスできないWebサーバー上のファイルを取得する攻撃です。例えば `?file=../../etc/passwd` のようなURLにより、システムのユーザー一覧や設定ファイルが読み取られます。

被害の典型として、/etc/passwd・SSH秘密鍵・データベース接続情報を含む設定ファイル(wp-config.php、.env)・ソースコードの漏洩があります。情報漏洩は次の攻撃(辞書作成・別サービスへの侵入)の足場にもなります。

対策は (1) ファイル名パラメータをホワイトリスト化、(2) realpath()等で正規化後にディレクトリ範囲を検証、(3) Webサーバー設定で機密ファイルへのアクセスを禁止、です。WAFやアクセスログ監視で攻撃試行を検知することも有効です。

Scanrollはこう守る

ScanrollはアクセスログからURIに `../` `%2e%2e%2f` 等のトラバーサル記号を含むリクエストを検出し、攻撃者IPを自動ブロックします。同時に脆弱性スキャナーによる連続的な探索行為も検知対象としています。