ポイント ●ディレクトリ・トラバーサルとは,「../」のような文字列を使ってWebサーバーのディレクトリ・パスをさかのぼり(横断して),公開されていないディレクトリにアクセスする手法のことである ●OSコマンド・インジェクションは,ディレクトリ・トラバーサルの手法を用いてOSコマンドがあるディレクトリにアクセスし,OSコマンドを実行する手法のことである ●どちらの手法も,Webアプリケーションの脆弱性,具体的には「入力される可能性のあるデータに対する考慮不足」を悪用する攻撃手法である 前回は,Webアプリケーションの脆弱性の大枠を確認しました。今回は「ディレクトリ・トラバーサル」と「OSコマンド・インジェクション」の詳細を学びます。いずれもWebアプリケーションの脆弱性=「入力される可能性のあるデータに対する考慮不足」を狙った攻撃手法です。 ディレクトリ・トラバーサルのカラクリ ディレクト