ディレクトリ・トラバーサル

ディレクトリ・トラバーサル という不正アクセスを受けた。
特に深刻な被害はないようだが、脆弱性があることがわかった。
一応対策した。


あまり詳しいことは書きたくないが、cgiでパラメータを受け取ってそれをファイルとして開いているのだが、
そのパラメータに "../../../../" を含んだファイル名を指定してその内容を表示させようとするのだ。
ミソは "../"である。ディレクトリをさかのぼって表示させるのだ。

こんなことができてしまうとは。