サイト脆弱性をチェックしよう！--第7回：「ディレクトリトラバーサル」と「強制ブラウジング」

　前回は、SQLインジェクションについて説明した。前回の対策について不明瞭な部分があるとの指摘を受けたので、その部分について、まず説明する。

　前回、「SQLインジェクション対策の基本はXSSと同じく適切なエスケープ処理を行うことだが、最近の開発環境の多くは、Prepared Statementあるいはバインドメカニズムと呼ばれる仕組みが実装されているので、それらを用いることが最も簡単な方法といえる」と記述した。

　その意図は、「SQLインジェクション対策の基本はエスケープ処理となる。しかし、エスケープ処理を行う代わりに、Prepared Statementあるいはバインドメカニズムをデータベースへのアクセスに利用する方が簡単かつ安全だ」ということだ。

　Prepared Statementあるいはバインドメカニズムを使用することで、開発者がコードを書く量を少なくでき、結果として、脆弱性（バグ）の混入を低減することができる。

　当然のことながら、動的に検索条件の検索項目を変更したい場合など、バインドメカニズムを利用することは困難な場合がある。その場合は、SQLインジェクションが発生しないように注意して、エスケープ処理を行わなければならない。

　さて、今回はSQLインジェクションと並んで情報漏えいにつながる脆弱性である「ディレクトリトラバーサル」と「強制ブラウジング」について説明する。

ディレクトリトラバーサルとは

　ディレクトリトラバーサルとは、ファイルをウェブアプリケーションが使用する場合に、相対パス表記を用いて任意のファイルにアクセスしてしまう脆弱性だ。

　この脆弱性を利用した事件として有名なのは、ACCSのサイトから個人情報が漏えいした2003年の事件だ。この事件では、脆弱性のある「csvmail.cgi」がACCSのサイトで使用されており、Hiddenフィールドで指定したテンプレートを表示する機能を悪用して、任意のファイルの内容が表示可能となってしまった。