Coders Conquer Security:シェアして学ぶシリーズ - ローカルファイルの取り込みとパストラバーサル

2019年07月04日掲載
ジャープ・カラン・シン著
ケーススタディ

Coders Conquer Security:シェアして学ぶシリーズ - ローカルファイルの取り込みとパストラバーサル

2019年07月04日掲載
ジャープ・カラン・シン著
リソースを見る
リソースを見る

多くの脆弱性とは異なり、ローカルでのファイルの取り込みやパス・トラバーサル処理を悪用するには、十分に熟練した攻撃者とそれなりの時間、そしておそらく少しの運が必要です。しかし、この脆弱性を無視できるというわけではありません。熟練した攻撃者は、この脆弱性を利用して、組織の内部ファイルを敵に回したり、ディレクトリ構造をマッピングしたり、さらには、危険な二次攻撃に利用できるパスワードやユーザー情報を盗むこともできます。

このエピソードでは、以下のことを学びます。

  • ハッカーがローカルファイルの取り込みやパストラバーサルの脆弱性を利用する方法
  • 無制限にローカルファイルの取り込みやパストラバーサルを許可することが危険な理由
  • この問題を発見し、解決するために採用できる方針と技術。

攻撃者はどのようにしてローカルファイルインクルージョンやパストラバーサルを利用するのか?

テレビの名探偵コロンボは、事件を解決するための貴重な情報を提供する前に、必ず「もうひとつだけ」と言っていた。その時は、取るに足らないことのように思え、容疑者はほとんどの場合無視していましたが、いつも破滅を招くことになりました。ローカルファイルの取り込みやパス・トラバーサルの脆弱性は、それとよく似ています。

ローカルファイルインクルードおよびパストラバーサルの脆弱性は、ASP、JSP、PHPスクリプトなど、ほとんどのプログラミングフレームワークに存在する動的ファイルインクルードの仕組みを利用しています。ローカル・ファイル・インクルードでは、攻撃者はローカル・サーバ上に存在するファイル名を、ヘッダやフォーム入力領域などのウェブ・アプリケーション内の領域に挿入します。アプリケーションは、通常通りメインの入力を処理しますが、include(page)などのコマンドも処理します。パストラバーサルでは、攻撃者は疑いのあるファイルへのパスを定義し、通常はドット、ドット、スラッシュ(../)の文字を変数として使用します。これはコロンボのようなもので、ハッカーは最初の部分の議論を本当に気にしません。これは、ハッカーが最後に「もうひとつだけ」を追加するための手段に過ぎません。

いずれの場合も、攻撃者は通常、かなりの量の試行錯誤を行う必要があります。サイトの構造を熟知していない限り、パス構成やファイル名を推測するのには長い時間がかかります。とはいえ、ほとんどのサイトは特定のパターンに従っており、多かれ少なかれ似たようなディレクトリやファイル名を持っています。そのため、思ったほど時間はかからないかもしれません。また、報酬が非常に高額になる可能性があることを考えると、ハッカーにとっては、ローカルファイルの取り込みやパストラバーサルの脆弱性が見つかった場合、それを利用しようとするインセンティブが大きくなります。

ローカルファイルインクルードやパストラバーサルの脆弱性はなぜ危険なのか?

ローカル・ファイル・インクルージョンやパス・トラバーサルの脆弱性は、攻撃者が機密ファイルや重要なファイルへのアクセスを許してしまう危険性があります。データファイルの場合、ハッカーがユーザーのパスワードやその他の個人情報などの貴重な情報を入手する危険性があります。主な標的は、パスワードやユーザ設定ファイルであることが多く、これによってサイトの他の部分にアクセスできるようになります。データベースも主要なターゲットです。ローカル・ファイル・インクルードやパス・トラバーサルの脆弱性により、最悪の場合、攻撃者はデータベースの内容全体を盗むことができます。

実行ファイルの場合、そのファイルにアクセスすることで、サイトの一部を破壊したり、システムリソースを浪費してある種の内部サービス拒否攻撃を行うなど、悪意のある活動が可能になる危険性があります。しかし、その危険性の範囲は、攻撃者の創意工夫と技術、そして攻撃対象のサーバーにすでに存在するファイルにアクセスできるかどうかによってのみ制限されます。

ローカルファイルインクルージョンとパストラバーサルによる脅威の除去

ローカルファイルのインクルードやパストラバーサルの脆弱性がもたらす危険性は、サイバーセキュリティの適切な実践によって排除することができます。最も重要なことは、「ファイルインクルード」や同様の機能を持つ他のコマンドでユーザーの入力を決して許可しないことです。もしアプリケーションがそれを許可しなければならない場合は、それを直接渡さないでください。代わりに、間接参照マップを使用します。間接参照マップは、ユーザーの入力をハードコードされた信頼できる値にマッピングし、それを安全に使用することができます。

他の多くの脆弱性と同様に、クッキー、HTTPヘッダ、フォームパラメータなど、ユーザが制御するすべての入力領域に特に注意してください。許可される入力はホワイトリスト化し、それ以外は明示的に拒否します。それができない場合は、入力検証を使って、数字や英数字など、許可される値を厳しく管理してください。

ローカルファイルのインクルードとパストラバーサルに関する詳細情報

さらに詳しく知りたい方は、ローカルファイルのインクルードとパストラバーサルのエクスプロイトに関するOWASPテストガイドをご覧ください。また、サイバーセキュリティチームを究極のサイバー戦士に育成するSecure Code Warrior プラットフォームの無料デモで、新たに得た防御知識を試すこともできます。この脆弱性やその他の脅威への対策について詳しくは、Secure Code Warrior ブログをご覧ください。

リソースを見る
リソースを見る

著者

Jaap Karan Singh

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

Coders Conquer Security:シェアして学ぶシリーズ - ローカルファイルの取り込みとパストラバーサル

2024年1月22日発行
Jaap Karan Singh著

多くの脆弱性とは異なり、ローカルでのファイルの取り込みやパス・トラバーサル処理を悪用するには、十分に熟練した攻撃者とそれなりの時間、そしておそらく少しの運が必要です。しかし、この脆弱性を無視できるというわけではありません。熟練した攻撃者は、この脆弱性を利用して、組織の内部ファイルを敵に回したり、ディレクトリ構造をマッピングしたり、さらには、危険な二次攻撃に利用できるパスワードやユーザー情報を盗むこともできます。

このエピソードでは、以下のことを学びます。

  • ハッカーがローカルファイルの取り込みやパストラバーサルの脆弱性を利用する方法
  • 無制限にローカルファイルの取り込みやパストラバーサルを許可することが危険な理由
  • この問題を発見し、解決するために採用できる方針と技術。

攻撃者はどのようにしてローカルファイルインクルージョンやパストラバーサルを利用するのか?

テレビの名探偵コロンボは、事件を解決するための貴重な情報を提供する前に、必ず「もうひとつだけ」と言っていた。その時は、取るに足らないことのように思え、容疑者はほとんどの場合無視していましたが、いつも破滅を招くことになりました。ローカルファイルの取り込みやパス・トラバーサルの脆弱性は、それとよく似ています。

ローカルファイルインクルードおよびパストラバーサルの脆弱性は、ASP、JSP、PHPスクリプトなど、ほとんどのプログラミングフレームワークに存在する動的ファイルインクルードの仕組みを利用しています。ローカル・ファイル・インクルードでは、攻撃者はローカル・サーバ上に存在するファイル名を、ヘッダやフォーム入力領域などのウェブ・アプリケーション内の領域に挿入します。アプリケーションは、通常通りメインの入力を処理しますが、include(page)などのコマンドも処理します。パストラバーサルでは、攻撃者は疑いのあるファイルへのパスを定義し、通常はドット、ドット、スラッシュ(../)の文字を変数として使用します。これはコロンボのようなもので、ハッカーは最初の部分の議論を本当に気にしません。これは、ハッカーが最後に「もうひとつだけ」を追加するための手段に過ぎません。

いずれの場合も、攻撃者は通常、かなりの量の試行錯誤を行う必要があります。サイトの構造を熟知していない限り、パス構成やファイル名を推測するのには長い時間がかかります。とはいえ、ほとんどのサイトは特定のパターンに従っており、多かれ少なかれ似たようなディレクトリやファイル名を持っています。そのため、思ったほど時間はかからないかもしれません。また、報酬が非常に高額になる可能性があることを考えると、ハッカーにとっては、ローカルファイルの取り込みやパストラバーサルの脆弱性が見つかった場合、それを利用しようとするインセンティブが大きくなります。

ローカルファイルインクルードやパストラバーサルの脆弱性はなぜ危険なのか?

ローカル・ファイル・インクルージョンやパス・トラバーサルの脆弱性は、攻撃者が機密ファイルや重要なファイルへのアクセスを許してしまう危険性があります。データファイルの場合、ハッカーがユーザーのパスワードやその他の個人情報などの貴重な情報を入手する危険性があります。主な標的は、パスワードやユーザ設定ファイルであることが多く、これによってサイトの他の部分にアクセスできるようになります。データベースも主要なターゲットです。ローカル・ファイル・インクルードやパス・トラバーサルの脆弱性により、最悪の場合、攻撃者はデータベースの内容全体を盗むことができます。

実行ファイルの場合、そのファイルにアクセスすることで、サイトの一部を破壊したり、システムリソースを浪費してある種の内部サービス拒否攻撃を行うなど、悪意のある活動が可能になる危険性があります。しかし、その危険性の範囲は、攻撃者の創意工夫と技術、そして攻撃対象のサーバーにすでに存在するファイルにアクセスできるかどうかによってのみ制限されます。

ローカルファイルインクルージョンとパストラバーサルによる脅威の除去

ローカルファイルのインクルードやパストラバーサルの脆弱性がもたらす危険性は、サイバーセキュリティの適切な実践によって排除することができます。最も重要なことは、「ファイルインクルード」や同様の機能を持つ他のコマンドでユーザーの入力を決して許可しないことです。もしアプリケーションがそれを許可しなければならない場合は、それを直接渡さないでください。代わりに、間接参照マップを使用します。間接参照マップは、ユーザーの入力をハードコードされた信頼できる値にマッピングし、それを安全に使用することができます。

他の多くの脆弱性と同様に、クッキー、HTTPヘッダ、フォームパラメータなど、ユーザが制御するすべての入力領域に特に注意してください。許可される入力はホワイトリスト化し、それ以外は明示的に拒否します。それができない場合は、入力検証を使って、数字や英数字など、許可される値を厳しく管理してください。

ローカルファイルのインクルードとパストラバーサルに関する詳細情報

さらに詳しく知りたい方は、ローカルファイルのインクルードとパストラバーサルのエクスプロイトに関するOWASPテストガイドをご覧ください。また、サイバーセキュリティチームを究極のサイバー戦士に育成するSecure Code Warrior プラットフォームの無料デモで、新たに得た防御知識を試すこともできます。この脆弱性やその他の脅威への対策について詳しくは、Secure Code Warrior ブログをご覧ください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。