OWASP テスティングガイド

OWASP Testing Guide v3.0
パステラバーサル 脆 弱 性 のためのケーデレパャーの 方 法
パシトョバーコラ 脆 弱 性 のためのケードリビャー(Review Code for Path Traversal )の 方 法 についての OWASP ケードリビャ
ーオイド(OWASP Code Review Guide)の 文 献犰 を 参 照 してください。
問 題 の 記 述
伝 統 的 に、ウェブ・コーバとウェブ・アプヨクーサュヱはファイラとヨセーシへのアキスシを 制 御 するために 認 証 機 構 を 実 装 し
ています。ウェブ・コーバはヤーゴのファイラを、ファイラサシテマ 上 の 物片 理 ディリキトヨを 表 す、「ラート・ディリキトヨ」や「ウェ
ブ・ドカャミヱト・ラート」の 内 部邪 に 制 限 しようとします。ヤーゴはこのディリキトヨをウェブ・」アプヨクーサュヱの 階 層 構 造造 への 大
本 のディリキトヨとして 考 えなくてはなりません。 特牐 権 の 定 義 はアキスシ・ケヱトルーラ・ヨシト(ACL)を 使 って 作 られます。ACL は
どのヤーゴやギラープがコーバ 上 の 特牐 定 のファイラをアキスシ、 修 正 又 は 実 行 できるかを 識 別 します。これらの 機 構 は、 悪
意 のあるヤーゴが 機 密 ファイラ( 例 えば、Unix ョイキなプョットフェーマ 上 で 一 般 的 な/etc/passwd ファイラ)にアキスシするの
を 防 いだり、サシテマケボヱドの 実 行 を 防 いだりするために 設 計 されています。
多 くのウェブ・アプヨクーサュヱがコーバ・コイド・シキヨプトを 使 用 し、 異 なる 種 類 のファイラを 含 めています。この 手 法 を 使 い、
ギョフィッキ、テヱプリート、ルードする 静 的 な 文 章 などを 管 理 するのは 極 めて 一 般 的 です。 残 念 ながらこれらのアプヨクーサ
ュヱは、 入 力 パョミーソ(すなわわちフェーマパョミーソ、キッカーの 値 )が 正 しく 妥妞 当 性 検 証 されないと、スカャヨティ 脆 弱 性 を 暴
露 します。
ウェブ・コーバとウェブ・」アプヨクーサュヱ 内 では、この 種 の 問 題 はパシトョバーコラ/ファイライヱキラード 攻 撃 で 起 こります。
この 種 の 脆 弱 性 を 攻 略 することにより、 攻 撃 者 は 通 常 読 めないディリキトヨやファイラを 読 めたり、ウェブ・ドカャミヱト・ラート
外 のデーソにアキスシしたり、 外 部邪 のウェブ・コイトからシキヨプトや 他 の 種 類 のファイラを 含 んだりすることができます。
OWASP テシティヱギオイドの 目 的 のため、ウェブ・アプヨクーサュヱに 関 係 するスカャヨティ 脅 威姕 についてだけ 考 え、ウェブ・
コーバへのスカャヨティ 脅 威姕 ( 例 えば 悪 名 の 高 いボイキルセフト IIS ウェブ・コーバへの「%5c ウシクープケード」 入 力 )につい
ては 考 えないことにしましょう。 興 味 のある 読 者 のために、 参 考 文 献犰 の 節 にさらなる 文 献犰 の 示 唆 を 用 意 します。
この 種 の 攻 撃 は、ドット・ドット・ショッサャ 攻 撃 (../)、ディリキトヨトョバーコラ
ディリキトヨトョバーコラ、ディリキトヨ 登 坂 あるいはバッキトョッカヱギ
バッキトョッカヱギとし
ても 知 られています。
評 価 の 間 、パシトョバーコラとファイライヱキラードの 不 具 合 を 発 見 するため、 二 つの 異 なる 段 階 が 必 要 です:
• (a) 入 力 担 体 の 列 挙 ( 各 入 力 担 体 の 系 統 立 った 評 価 )
• (b) テスト 技 術 ( 脆 弱 性 を 攻 略 するために 攻 撃 者 が 使 用 する 各 攻 撃 技 術 の 方 法 的 評 価 )
ブラチクボチクステステと 例
(a) 入 力 担 体 の 列 挙
アプヨクーサュヱのどの 部邪 分 が 入 力 の 妥妞 当 性 検 証 の 迂 回 に 対 し 脆 弱 かを 明 らかにするために、テシト 者 はヤーゴからのケヱ
テヱツを 受 け 入 れるアプヨクーサュヱのすべての 部邪 分 を 列 挙 する 必 要 があります。これは HTTP GET と POST 検 索 とファイラ
のアップルードや HTML フェーマのような 共 通 エプサュヱも 含 みます。
ここで、この 段 階 で 実 行 されるタェッキの 例 がいくつかあります:
• ファイラ 関 係 の 操 作 に 使 えるヨキウシト・パョミーソはありますか?
181