ポイント ●ディレクトリ・トラバーサルとは,「../」のような文字列を使ってWebサーバーのディレクトリ・パスをさかのぼり(横断して),公開されていないディレクトリにアクセスする手法のことである ●OSコマンド・インジェクションは,ディレクトリ・トラバーサルの手法を用いてOSコマンドがあるディレクトリにアクセスし,OSコマンドを実行する手法のことである ●どちらの手法も,Webアプリケーションの脆弱性,具体的には「入力される可能性のあるデータに対する考慮不足」を悪用する攻撃手法である 前回は,Webアプリケーションの脆弱性の大枠を確認しました。今回は「ディレクトリ・トラバーサル」と「OSコマンド・インジェクション」の詳細を学びます。いずれもWebアプリケーションの脆弱性=「入力される可能性のあるデータに対する考慮不足」を狙った攻撃手法です。 ディレクトリ・トラバーサルのカラクリ ディレクト
![脆弱性を利用した攻撃手法(3) --- ディレクトリ・トラバーサルとOSコマンド・インジェクション](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)