→ディレクトリトラバーサル
ディレクトリトラバーサル はじめに こんにちは! 株式会社ユーザベース スピーダ事業 Product Team(以下 Product Team)の新熊・度會です。 ユーザベースの Product Team には、全社のセキュリティを担うチームとは別に、プロダクトセキュリティの底上げを担うセキュリティチーム、通称 Blue Team というチームがあります。 私たちはそのチームの一員として、日頃の開発業務に加えてユーザベースのプロダクトのセキュリティを横断的に向上するための活動を行なっています。 現在、 Blue Team の取り組みのひとつとして、脆弱性のリスクや対策方法について継続的に記事に…
「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回 は、セッション管理の理解と、実際になりすましを試したのと、PHP のセッションID を URL に埋め込まない対策を行いました。 今回は、前々回 に行った OWASP ZAP の自動脆弱性スキャンの結果の「パストラバーサル」について、分析と可能なら対策までやっていきたいと思います。 それでは、やっていきます。
【ニュース】■2020年 ◆2020年危険なソフトウェアの脆弱性トップ25が発表 (マイナビニュース, 2020/08/22 21:52) https://news.mynavi.jp/article/20200822-1239345/ ⇒ https://vul.hatenadiary.com/entry/2020/08/22/000000_1 ■2021年 ◆「Apache HTTP Server」のゼロデイ脆弱性対策は不十分 ~「Apache 2.4.51」で追加修正 (窓の杜, 2021/10/08 09:14) パストラバーサルによりドキュメントルートの外にあるファイルへアクセスされ…
wizsafe.iij.ad.jp
forest.watch.impress.co.jp
www.jpcert.or.jp
forest.watch.impress.co.jp
www.scutum.jp
blog.tokumaru.org
yamory.io
internet.watch.impress.co.jp
techblog.gmo-ap.jp
