WordPressサイトにおける、ディレクトリトラバーサルの危険度について

WPのセキュリティ診断サイトに、URLを入力しましたら、以下のように表示されました。

サーバーのフルパスが右のファイルによって漏洩しています 'http://aaaa12345.wp.xdomain.jp/wp-includes/rss-functions.php'

こちらは、該当する危険性としては「ディレクトリトラバーサル」だと思いますが、wordpressのデフォルトの設定では、特段対策などされていない所からみるに、対策せずとも、危険性がないと判断しているということなのでしょうか。実際に、どの程度、危険性があるかなど気になりました為、質問させて貰いました

行動規範の内容に同意します

回答1件

ベストアンサー

該当する危険性としては「ディレクトリトラバーサル」だと思います

違います。ディレクトリトラバーサルは非常に危険な脆弱性であり、放置されるようなものではありません。
こちらは、このURLを表示するとエラーになり、そのエラー表示の中にサーバー内のパス名が表示されるというものです。

放置しても、単独でものすごく危険という程ではありませんが、php.iniの設定で以下のようにエラー表示を無効にすることをお勧めします。そうしないと、別のところで、もっと危険なことが発生する可能性はあります。

display_errors = off

投稿2020/06/10 08:33

ockeghem

総合スコア11705

s-lll

2020/06/10 08:59 編集

ご回答ありがとうございます。ファイルのフルパスが知れるということは、ファイルにアクセスされる危険性があり、それがディレクトリとラーバーサルだと認識していたのですが、少し調べただけだったので、誤認識してしまっておりました。単独ではそこまでの危険性はないが、大きな被害に繋がる可能性はあるという感じなのですね。ちなみになのですが、絶対パスが知れたことによる危険性は、公開する予定のないファイルにアクセスされ、重要な情報を見られてしまう可能性があるといった所でしょうか？

ockeghem

2020/06/10 09:09

「ちなみになのですが、絶対パスが知れたことによる危険性は、公開する予定のないファイルにアクセスされ、重要な情報を見られてしまう可能性があるといった所でしょうか？」<いやいや、それは重大な問題ですよ。そんなことは起きません。例を上げるのも難しいくらいなのですが、たとえば、別の箇所にディレクトリトラバーサルの脆弱性があり、珍しいことに相対パスだと攻撃できないが絶対パスなら攻撃できる状態だったとします。その場合は、パス名が判ると攻撃しやすくなります。しかし、パス名が分からないと絶対に攻撃できないかというと、そうではありません。ApacheやNginxの設定ファイルのパス名はだいたい決まっているので、そこを手がかり調べていくなどすれば、いずれ攻撃ができる可能性は十分あります。攻撃難易度が少し変わるレベルです。そして、「仮にディレクトリトラバーサル脆弱性があるならば」という話をしているわけで、ディレクトリトラバーサル単体で非常に危険な状態です。一方、フルパスがわかること自体は大きな問題ではなく、単体では、単に「パス名がばれる」というだけです。一般的なLinuxディストリビューションでApacheやNginxをインストールすると、/var/www/html にコンテンツが置かれます。すなわち、フルパスが分かっている状態が一般的です。これが問題になるなら、サイト毎に乱数を用いてパス名を決めるなどの対策が必要になりますが、それをしていないということは、パス名がばれても重大な問題ではない、ということです。

s-lll

2020/06/10 09:35

ご丁寧に教えて下さり、ありがとうございます。勘違いしている部分も多く、まだまだ勉強が必要だなと実感いたしました。フルパスがバレてしまうこと自体は、そこまでの危険度はないと考えて良い訳ですね。勉強になりました。

行動規範の内容に同意します