ディレクトリトラバーサル攻撃

ディレクトリトラバーサル（またはパストラバーサル）攻撃は、ユーザーが指定したファイル名のセキュリティ検証またはサニタイズが不十分であることを悪用し、「親ディレクトリへのトラバース」を表す文字がオペレーティングシステムのファイルシステムAPIに渡されるというものです。影響を受けるアプリケーションは、ファイルシステムへの不正アクセスに悪用される可能性があります。

PHPコード 内の脆弱なアプリケーションの典型的な例は次のとおりです。

<?php 
$template  =  "red.php" ; 
if  ( isset ( $_COOKIE [ "TEMPLATE" ]))  { 
    $template  =  $_COOKIE [ "TEMPLATE" ]; 
} 
include  "/home/users/phpguru/templates/"  .  $template ;

このシステムに対する攻撃は、次の HTTP リクエストを送信することになる可能性があります。

GET  /vulnerable.php  HTTP / 1.0 
Cookie :  TEMPLATE=../../../../../../../../../etc/passwd

サーバーは次のような応答を生成します。

HTTP / 1.0  200  OK
コンテンツタイプ:  text/html
サーバー:  Apache

ルート:fi3sED95ibqR6:0:1:システムオペレータ:/:/bin/ksh
デーモン:*:1:1::/tmp:
phpguru:f8fk3j1OIf31.:182:100:開発者:/home/users/phpguru/:/bin/csh

後の繰り返し../文字により、ルート ディレクトリに移動し/home/users/phpguru/templates/、 Unix パスワード ファイルが含まれます。 include()/etc/passwd

Unixファイル/etc/passwdはディレクトリトラバーサルのデモンストレーションによく使われるファイルで、クラッカーがパスワード解読を試みる際によく使用されます。しかし、最近のUnixシステムでは、/etc/passwdハッシュ化されたパスワードはファイルに含まれておらず、/etc/shadowマシン上の権限のないユーザーが読み取ることができないファイルに格納されています。しかし、その場合でも、ファイルを読み出す/etc/passwdとユーザーアカウントのリストが表示され、それがさらなる攻撃の起点となる可能性があります。

もう1つの例としては、 ZIPなどのいくつかのアーカイブファイル形式に影響を及ぼす「Zip Slip」脆弱性があります。^[1]

ディレクトリトラバーサルの最も単純な形態では、../パターンが使用されます。一般的なバリエーションを以下に示します。

Microsoft WindowsとDOSのディレクトリトラバーサルでは、..\または../パターンが使用されます。^[2]

各パーティションには個別のルートディレクトリ（C:\Cは任意のパーティション）があり、その上位に共通のルートディレクトリはありません。つまり、Windowsのディレクトリ脆弱性のほとんどに対する攻撃は、単一のパーティションに限定されます。

ディレクトリトラバーサルは、Microsoftの多くの脆弱性の原因となっている。^{[3] [4]}

一部のウェブアプリケーションは、リクエストURIのパスをスキャンしてのようなパターンを探すことでディレクトリトラバーサルを防止しようとします../。このチェックは、パーセントデコードの前に誤ってのようなパターンを含むURIが、実際に使用される前に%2e%2e/にデコードされているにもかかわらず、受け入れられてしまうことがあります../。^[5]

パーセントデコードは誤って複数回実行される可能性があります。検証前に1回、検証後にもう一度実行されると、アプリケーションは二重パーセントエンコーディング攻撃^[6]に対して脆弱になります。この攻撃では、不正な文字がセキュリティ対策を回避するために二重パーセントエンコードされた形式に置き換えられます。^[7]たとえば、二重パーセントエンコーディング攻撃では、../が二重パーセントエンコードされた形式に置き換えられる可能性があります%252E%252E%252F。^{[8]この種の脆弱性は、} MicrosoftのIIS Webサーバーソフトウェアのバージョン5.0以前に大きな影響を与えました。^[9]

適切に実装されていないUTF-8デコーダーは、必要以上に多くのバイト数でエンコードされた文字を受け入れる可能性があり、 の代わりに のような長すぎるエンコードにつながります。%c0%aeこれはUTF-8標準では明確に禁止されていますが^{[10] 、} IISウェブサーバーなどのソフトウェアではディレクトリトラバーサルの脆弱性を引き起こします^[11]。%2e.

zipなどの一部のアーカイブ形式では、ディレクトリトラバーサル攻撃が可能です。アーカイブ内のファイルは、バックトラックによってファイルシステム上のファイルを上書きするように記述できます。アーカイブファイルを抽出するコードでは、アーカイブ内のファイルのパスがパストラバーサルに該当しないことを確認するように記述できます。

ディレクトリトラバーサルを防止するためのアルゴリズムとしては次のようなものが考えられます。

1. 以下に進む前に、ファイル要求につながらない URI 要求 (ユーザー コードへのフックの実行など) を処理します。
2. ファイル/ディレクトリの URI 要求を行うときは、ファイル/ディレクトリが存在する場合はその完全なパスを構築し、すべての文字を正規化します (%20スペースに変換するなど)。
3. 完全修飾された正規化されたパス「ドキュメントルート」が既知であり、この文字列の長さがNであると仮定します。このディレクトリ外のファイルは提供されないものとします。
4. 要求されたファイルへの完全修飾パスの最初のN文字が「ドキュメント ルート」と完全に同じであることを確認します。
5. そうであれば、ファイルを返却できるようにします。
6. そうでない場合、そのリクエストは明らかに Web サーバーが提供できる範囲外であるため、エラーを返します。

ハードコードされた定義済みのファイル拡張子を使用してパスをサフィックスしても、攻撃の範囲が必ずしもそのファイル拡張子のファイルに限定されるわけではありません。

<?php に
$_GET [ "ファイル" ] . ".html"を含めます 。  

ユーザーは、 .以降のすべてをバイパスするために、NULL 文字$_GET(文字列の終わりを示す) を使用できます(これは PHP 固有です)。

補完的な防御策としては、悪意のあるパターンをブロックするのではなく、許可されたファイルのホワイトリストを使用する、^[12]realpath()やなどの組み込み関数を利用してbasename()パスを正規化し、ディレクトリコンポーネントを削除する、^[13]ディレクトリのアクセス許可を読み取り専用に制限する、エラーメッセージでファイルシステムの詳細が明らかにされないようにするなどがあります。^[14]

• chroot jail は、適切に作成されていない場合、ディレクトリトラバーサルの攻撃を受ける可能性があります。ディレクトリトラバーサルの攻撃ベクトルとして考えられるのは、jail 外のディレクトリへのファイル記述子のオープンです。作業ディレクトリも攻撃ベクトルとして考えられます。
• 安全でない直接オブジェクト参照

• オープンウェブアプリケーションセキュリティプロジェクト
• WASC脅威分類 - パストラバーサル
• パストラバーサル脆弱性の悪用と修復^{[永久リンク切れ]}
• CWE 共通脆弱性列挙 - パストラバーサル

• DotDotPwn – ディレクトリ トラバーサル ファザー
• ディレクトリトラバーサルの使用に対する有罪判決。
• 「悪法で利益を得るのは悪人だけだ」comment.zdnet.co.uk 2005年10月7日。2006年10月8日時点のオリジナルよりアーカイブ。
• Bugtraq: IIS %c1%1c リモート コマンド実行
• 暗号ニュースレター 2001 年 7 月。