Blog

コーダーがセキュリティを征服する:共有と学習シリーズ-ローカルファイルインクルージョンとパストラバーサル

July 4, 2019
ヤープ・キャラン・シン

多くの脆弱性とは異なり、ローカルファイルインクルージョンとパストラバーサルプロセスを悪用して悪用するには、十分なスキルを持つ攻撃者、かなりの時間、そしておそらく少しの運が必要です。だからといって、この脆弱性を無視できるわけではありません。熟練した攻撃者はこの脆弱性を利用して、組織内のファイルを不正利用したり、ディレクトリ構造を調べたり、危険な二次攻撃に利用される可能性のあるパスワードやユーザー情報を盗んだりする可能性があります。

このエピソードでは、次のことを学びます。

  • ハッカーがローカルファイルインクルージョンとパストラバーサルの脆弱性を悪用する方法
  • 無制限のローカルファイルインクルードとパストラバーサルを許可することが危険な理由
  • この問題の発見と解決に役立つポリシーとテクニック。

攻撃者はローカルファイルインクルージョンとパストラバーサルをどのように悪用しますか?

昔からあるテレビ探偵のコロンボは、手元の事件を解き明かすような貴重な情報を伝える直前に、いつも「もう一つだけ」と言っていました。当時、それは取るに足らないことのように思え、容疑者にはほとんどいつも無視されていたが、常に容疑者を覆すものであることが証明された。ローカルファイルインクルージョンとパストラバーサルの脆弱性はよく似ています。

ローカルファイルインクルードとパストラバーサルの脆弱性は、ASP、JSP、PHPスクリプトなどのほとんどのプログラミングフレームワークに存在する動的ファイルインクルードメカニズムを使用します。ローカルファイルインクルージョンでは、攻撃者はローカルサーバー上に存在するファイルの名前を Web アプリケーションのヘッダーやフォーム入力エリアなどの Web アプリケーションの領域に滑り込ませます。アプリケーションはメイン入力を通常どおり処理しますが、include (page) などのコマンドも処理します。パストラバーサルでは、攻撃者は通常、ドット、ドット、スラッシュ (../) 文字を変数として使用して、疑わしいファイルへのパスを定義します。ハッカーが議論の最初の部分をまったく気にしないという点では Columbo によく似ています。これは単に「もうひとつだけ」を末尾に付け加えるための手段に過ぎません。

いずれの場合も、攻撃者は通常、かなりの試行錯誤を行う必要があります。サイトの構造に精通していない限り、パス構成とファイル名の推測には長い時間がかかる可能性があります。とはいえ、ほとんどのサイトは特定のパターンに従い、ディレクトリとファイル名は多かれ少なかれ似ています。そのため、思ったほど長くはかからないかもしれません。また、支払いが非常に高額になる可能性があることを考えると、ハッカーがローカルファイルインクルージョンやパストラバーサルの脆弱性を発見すると悪用しようとする動機はたくさんあります。

ローカルファイルインクルージョンとパストラバーサルの脆弱性が危険なのはなぜですか?

ローカルファイルインクルージョンやパストラバーサルの脆弱性は、攻撃者が機密ファイルや重要なファイルにアクセスできるようになるため危険です。データファイルの場合、ハッカーがユーザーパスワードやその他の個人情報などの貴重な情報を入手する危険性があります。多くの場合、パスワードファイルまたはユーザー設定ファイルが、サイトの他の部分へのアクセスを可能にするため、主な標的となります。データベースも主要なターゲットです。ローカルファイルインクルージョンとパストラバーサルの脆弱性により、最悪の場合、攻撃者がデータベースのコンテンツ全体を盗む可能性があります。

実行ファイルの場合、攻撃者がアクセスできるようになると、攻撃者がサイトの一部を破壊したり、システムリソースを浪費して何らかの内部サービス拒否攻撃を仕掛けたりするなどの悪意のあるアクティビティを実行できるようになる危険性があります。しかし、攻撃者の創意工夫と技能、および攻撃者がアクセスできる対象サーバーにすでに存在するファイルによってのみ、その危険範囲が制限されるのは攻撃者の工夫と技能だけです。

ローカルファイルインクルージョンとパストラバーサルによる脅威の排除

ローカルファイルインクルージョンとパストラバーサルの脆弱性によってもたらされる危険は、優れたサイバーセキュリティ対策を講じれば排除できます。覚えておくべき最も重要なことは、「ファイルインクルード」や同様の機能を持つ他のコマンドでは、ユーザーによる入力を絶対に許可しないことです。アプリケーションで許可しなければならない場合は、直接渡さないでください。代わりに、間接参照マップを使用してください。間接参照マップはユーザー入力を受け取り、それをハードコードされた信頼できる値のセットにマッピングし、安全に使用できます。

他の多くの脆弱性と同様に、Cookie、HTTP ヘッダー、フォームパラメーターなど、ユーザーが制御するすべての入力領域に特に注意してください。許可される入力はホワイトリストに登録し、それ以外はすべて明示的に拒否する必要があります。これが不可能な場合は、入力検証を使用して、数字や英数字など、どの値が許可されるかを厳しく規制してください。

ローカルファイルインクルージョンとパストラバーサルに関する詳細情報

詳細については、OWASPをご覧ください テストガイド ローカルファイルインクルージョンとパストラバーサルの悪用用。また、新たに身につけた防御知識を、で試すこともできます。 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ

キャッチフレーズ

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
キャッチフレーズ

Explore more blogs

これは、オーラが射手と鼻の穴を広げることによって、腸管を熱的に発芽させ、臭いを帯びていることを防ぐためのものです。

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo