ディレクトリ チャンネル vol.37
■ 運用上の不備による「暴露問題」 暴露問題とは、顧客リストなどの秘密情報が、Webサーバーの基本的振る舞いによって漏えいしてしまうもの。Webアプリケーションの脆弱性が広く認知される前は、公開フォルダに格納された顧客リストが、Webブラウザからファイル名を予測してアクセスするだけで、外部から閲覧できてしまった事例がある。また、URIに「../../../etc/passwd」といった不正なパラメータを挿入し、想定外のパスへアクセスする「ディレクトリトラバーサル攻撃」もこの範ちゅうだ。 長谷川氏は「これは最も単純な脆弱性。システム自体の欠陥というよりも、保守の際に一時的に別の場所へ移動させたファイルを作業終了後に消し忘れる、などの運用上の不備によるところが大きい」と指摘。予防的実装例としては、重要なファイルやソースファイルは十分に隠し、「../」などを含むパスや絶対パス名を拒否すること。また、そもそも重要な値をパラメータで受け渡さないといったことや、セッション変数を積極的に使用し、キャッシュを残留させないことも有効としている。