Hatena Blog Tags
ディレクトリトラバーサル

ディレクトリトラバーサル

(コンピュータ)
でぃれくとりとらばーさる

ディレクトリトラバース、パストラバーサルともいう。

相対パス記法を利用して、管理者や利用者の想定しているのとは別のディレクトリのファイルを指定するソフトウェアの攻撃方法。

相対パス記法を悪用したディレクトリトラバーサル攻撃を受ける場合、意図しないファイルが読み出され、情報が漏えいする、既存のファイルが破壊されるなどの危険があるので、外部から入力されたパス名の検査が必要になる。

関連

  • 脆弱性
  • ディレクトリ
  • トラバース
  • ディレクトリトラバース
  • 情報漏洩

ネットの話題: ディレクトリトラバーサル

人気

新着

295users

全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ

security.srad.jp
みんなの反応を見る
84users

ウノウラボ Unoh Labs: いまさら、ディレクトリトラバーサルについて語ってみる

labs.unoh.net
みんなの反応を見る
73users

企業向け「ウイルスバスター」製品に再びディレクトリトラバーサルの脆弱性 - 窓の杜

forest.watch.impress.co.jp
みんなの反応を見る
59users

ディレクトリトラバーサル - Wikipedia

ja.wikipedia.org
みんなの反応を見る
33users

脆弱性を利用した攻撃手法(3) --- ディレクトリ・トラバーサルとOSコマンド・インジェクション | 日経クロステック(xTECH)

xtech.nikkei.com
みんなの反応を見る
29users

窓の杜 - 【NEWS】定番FTPクライアントソフト「FFFTP」にディレクトリトラバーサルの脆弱性

forest.watch.impress.co.jp
みんなの反応を見る
25users

Tomcatにディレクトリトラバーサル脆弱性、NTTデータ・セキュリティが注意喚起 - @IT

www.atmarkit.co.jp
みんなの反応を見る
21users

vuln.sg FFFTP の FTP クライアントにおけるディレクトリトラバーサルの脆弱性

vuln.sg
みんなの反応を見る
19users

7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出? | 水無月ばけらのえび日記

bakera.jp
みんなの反応を見る
13users

法人向け「ウイルスバスター」にディレクトリトラバーサルの脆弱性、すでに悪用も確認済み - INTERNET Watch

internet.watch.impress.co.jp
みんなの反応を見る
73users

企業向け「ウイルスバスター」製品に再びディレクトリトラバーサルの脆弱性 - 窓の杜

forest.watch.impress.co.jp
みんなの反応を見る
5users

アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性 | Q&A | Trend Micro Business Support

success.trendmicro.com
みんなの反応を見る
5users

Zip Slipディレクトリトラバーサル脆弱性の影響は多くのJavaプロジェクトに

www.infoq.com
みんなの反応を見る
295users

全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ

security.srad.jp
みんなの反応を見る
5users

Curlでディレクトリトラバーサルのテスト攻撃を行う | 俺的備忘録 〜なんかいろいろ〜

orebibou.com
みんなの反応を見る
18users

旧地理院地図のソースにディレクトリトラバーサルの脆弱性 -INTERNET Watch

internet.watch.impress.co.jp
みんなの反応を見る
10users

ウイルス対策ソフト「アバスト」にディレクトリトラバーサルの脆弱性 - 窓の杜

forest.watch.impress.co.jp
みんなの反応を見る
5users

Djangoとディレクトリトラバーサル - 偏った言語信者の垂れ流し

tokibito.hatenablog.com
みんなの反応を見る
19users

7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出? | 水無月ばけらのえび日記

bakera.jp
みんなの反応を見る
はてなブックマークでもっと見る
はてなブックマーク・usersって何?

新着ブログ: ディレクトリトラバーサル

id:sanpo_shiho
21 日前

脆弱性を直して学ぶ!Webセキュリティハンズオン by Recruit に参加した話

こんばんは さんぽしです。 本日5/16に脆弱性を直して学ぶ!Webセキュリティハンズオン by Recruitというイベントに参加したので、軽くですが参加記を残しておきたいと思います。 セキュリティを学べるようなイベントは(僕の観測範囲だと)少ない気がするのでとても楽しかったです!! どんなイベント? イベントタイトルそのままですが、事前課題となるリポジトリを与えられて、そこに残された脆弱性を修正する、当日に脆弱性一つ一つ解説してもらう、といったイベントでした。 また、僕が一方的に知っている方などの豪華解説陣となっていて、とても貴重な機会だなぁ…と感動していました。 以下が事前課題となってい…

さんぽしのBLOG
id:zfkarenti00
23 日前

nginx ip 制限

nginxでIPアドレス制限をして 出てハマった話 | カテゴリ >> サーバー小ネタ(Linux) ハマったというと少々大げさかもしれない。 今回はWordPressのログイン画面と管理画面にBasic認証を設定して、 に対する連続不正ログイン攻撃を防ぐ方法を紹介します。簡易的な方法ではありますが、現在の への攻撃を食い止めるには絶大な効果がありますので、設定しておいて損はないと思います。 あらすじ nginxについて調べようとする度にこのサジェストが出てくるの本当にどうにかしてほしい URL via web wiki読めばわかるし書いてある事そのまんまだけど一応覚書。ADHDは書かないと覚…

zfkarenti00’s blog
id:pivot_root
23 日前

2020-05-13

ダラダラしてた。やることはやった。 最近気力が起きなくて良くない、リセットしていく必要がある。 読んだ記事 [CVE-2020-8151] Possible information disclosure issue in Active Resource https://groups.google.com/forum/#!topic/rubyonrails-security/pktoF4VmiM8 Active Resource でのディレクトリトラバーサル。 require 'activeresource' class Test < ActiveResource::Base self.site…

pivot_root’s diary
id:hamayanhamayan
24 日前

Japan Tech News #022 2020/05/13

hamayanhamayanがインターネットを巡回して得た情報まとめ。 "Japan"と言うには主語が大きすぎる。 Hottest 競技プログラミング AtCoder Beginner Contest 167 - AtCoder Skill Up [AtCoder Beginner Contest 167 C] Teleporter [AtCoder Beginner Contest 167 D] Colorful Blocks [AtCoder Beginner Contest 167 E] Fは解説動画が天才的。こういう発想が欲しい セキュリティ / CTF SharkyCTF Web 解…

はまやんはまやんはまやん
id:hamayanhamayan
24 日前

SharkyCTF Web 解説集

https://ctftime.org/event/1034 XXExternalXX Logs In ! Part 1 Containment Forever WebFugu Aqua World Sharky Shop Logs In ! Part 2 Erwin's file manager 二問ぐらいしか解けなかった。 ググラビティをもっと上げなければ。 XXExternalXX One of your customer all proud of his new platform asked you to audit it. To show him that you can get i…

はまやんはまやんはまやん
id:xrzhev
25 日前

SharkyCTF Writeup

2020/5/9~行なわれていたSharkyCTFのwriteup。 772ptで263位。 修行が足りなさすぎる(´;ω;`)

net-nyan-cat
谷川哲司
先月

先週のサイバー事件簿 (まとめ)

記事 最新の記事から表示【2020年05月】 ◆先週のサイバー事件簿 - 通販サイト「とっとり市」で多くの情報流出 (マイナビニュース, 2020/05/11 19:42) 通販サイト「とっとり市」で不正アクセス被害 アイ・オー・データ機器、NarSuSテスト用サーバーに不正アクセス Google、Chromeの最新バージョン「81.0.4044.138」を公開 Mozilla、脆弱性を修正した最新バージョン「Firefox 76」 https://news.mynavi.jp/article/20200511-security/ ⇒ https://malware-log.hatenablo…

TT Malware Log
id:pupuboku
先月

activeresourceで脆弱性が見つかった

activeresouceとは Railsアプリケーション間の通信をRESTで行うためのラッパーライブラリのようだ。 自分はactiveresouceを使うようなソフトウェアの開発は経験無し。 https://rubygems.org/gems/activeresource 本文 間違っているかもしれないんだけど、バグレポートを見ている感じだと、finderメソッドの引数に任意の文字列を入力することで、ディレクトリトラバーサルが引き起こす脆弱性だ。 しかし、この脆弱性を使った攻撃が成立するには、アプリケーションがfinderメソッドの引数にパラメータをそのまま渡すような実装をしている必要がある…

Hard work by INTERNET
Zarat
先月

vulnhub Basic Pentesting 2 雑記

Basic pentesting 2 圧縮されたファイルを開くとovaファイルが出てきたが、ovaを読み込むだけでは内部ネットワークにリンクアップしてくれなかった。 この設定環境での話 rootreasure.hatenablog.jp 起動時に「recovery mode」を選択して、「network Enable networking」を選択するとリンクアップした。 電源付けたり消したりする場合は自動設定する必要がある。 サービス調査 # nmap -Pn -p- 10.10.10.11 Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-…

バグをバウンティしてみたい