【情セキュ】ディレクトリトラバーザル：サイバー攻撃→ファイルの不正閲覧。

[分野：情報セキュリティ/サイバー攻撃]

ディレクトリトラバーザル
被害→　攻撃者がパス名を使ってファイルを指定。
　　　　管理者の意図しないファイルを不正に閲覧する攻撃。

directory=ファイル　traversal=横断

対策→上位ディレクトリを指定する文字(…/)を含む時は受け付けない。

＜その他、不正攻撃の被害と対策＞

クロスサイトスクリプティングXXS

被害→有害な文字列を利用者のWebブラウザを通して
　　　脆弱なWebサイトに送り込み、利用者のWebブラウザで実行。

対策→サニタイジング/エスケープ処理。 
　　　入力データにHTMLタグが含まれていたら
　　　それと解釈されない他の文字列に置き換える。

SQLインジェクション

被害→脆弱性のあるWebアプリケーションの入力領域に
　　　攻撃者が悪意ある問い合わせ・操作を行う事で
　　　管理者の意図していないＳＱＬ文を実行させる。

対策→サニタイジング
　　　DBへの問い合わせ・操作で特別な意味を持つ文字(「'」)として
　　　解釈させない。
　　　
まとめ)　XXSはサイト、Webブラウザの話で解決にはHTML。
　　　　 SQLインジェクションはWebアプリの話で解決は
　　　 　特別な意味を持つ文字を持たせない。

クロスサイトスクリプティングXXS、SQLインジェクション
※どちらにも有効。

対策→WAF(Web Application Firewall)
　　　Webアプリケーション専用ファイヤーウォール。
　　　ヘッダ(IPアドレス、ポート番号)＋データも見て判断しアクセス制御。