ディレクトリトラバーサル攻撃は、パストラバーサルやファイルパストラバーサルとも呼ばれ、Webアプリケーションの脆弱性を突いて、サーバーのファイルシステムに不正にアクセスすることを目的としたサイバー攻撃の一種です。攻撃者は、リクエストに .../ や ...◆ などの特殊文字を使用することで、Webアプリケーションのディレクトリ構造内を移動し、制限されたファイルやディレクトリにアクセスしようとします。
www.example.com/view_image.php?image=dog.jpg/var/www/images/ のような特定のフォルダにある画像を探します。.../ を次のように含ませます。 www.example.com/view_image.php?image=../../../../etc/passwd/etc/passwd ファイルへのアクセス要求と解釈してしまう可能性があります。/etc/passwd ファイルの内容に不正にアクセスすることになり、サーバーとそのユーザーのセキュリティを脅かす可能性があります。ディレクトリトラバーサル攻撃から保護するために、Web開発者は、「ユーザー入力を許可された文字のホワイトリストと照らし合わせて検証する」「特殊文字を削除またはエスケープする」「ファイルにアクセスするために安全なAPIを使用する」など、適切な入力検証およびサニテーション技術を実装する必要があります。さらに、システム管理者は、攻撃が成功した場合の潜在的な損害を最小限に抑えるために、サーバー上のファイルやディレクトリに対する厳格なアクセス制御とパーミッションを設定する必要があります。