カテゴリ:
全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性
http://security.srad.jp/story/17/03/30/095235/

Linux系OSを搭載した製品が今後共でてくるのでしょうけど、
ネットワーク機能を使用者が意識的に使っていなくとも、
「外部から使えるように出来てしまう」状況下になる製品は危険性が多少は高いかな、と。

エンジニアとして怖いのは、
「第三者に皿を洗われる危険性」より、
「知らない間に踏み台にされること」
ですけどね。

ディレクトリトラバーサルは、
入力値の検証が不十分なために親ディレクトリへアクセスできてしまう脆弱性により、
意図しないアプリケーションを起動できてしまったり、ファイルを読み取られてしまう、ということ。

シャドウパスワードをみるという説明が本文中にありますが、
昔からよくあるのが、
../../../../../../../../../etc/passwd
という値を読み込ませる手法なので、
昔はスラッシュドットとかバックトラッキングとか呼ばれていました。