連載
Forceful Browsingとは
Forceful Browsingとは、Webアプリケーションにおいて、正規の認証・認可処理や画面遷移を通さずに、特定の機能やファイルのURLに直接アクセスするなどによって、本来アクセスできない機能やファイルにアクセスする攻撃手法のことだ。
Forceful Browsingとは、Webアプリケーションにおいて、正規の認証・認可処理や画面遷移を通さずに、特定の機能やファイルのURLに直接アクセスするなどによって、本来アクセスできない機能やファイルにアクセスする攻撃手法のことだ。「強制的ブラウズ」「強制ブラウジング」など、複数の和訳がある。Forceful Browsingは、回避する処理の種別によっては認証回避やなりすまし、権限昇格など、別の攻撃手法として取り扱われることもある。
Forceful Browsingにつながる脆弱(ぜいじゃく)性の例として以下が挙げられる。
- /admin.phpにアクセスしたところWebアプリケーションの管理者用ページにアクセスできた
- eコマースサイトで/data/order.csvにアクセスしたところユーザーの注文情報を閲覧できた
- 企業サイトのページのURLに含まれる日付を未来のものにしたところ、発表前の決算情報を閲覧できた
基本的に、以下の施策によって対策が可能である。
- アクセス制限の必要なコンテンツについては、原則的に適切に認証・認可の処理を行う
- アクセス制限の必要なコンテンツのうち認証・認可を行わないものについては、URLを推測できないものにする
関連用語
■改ざん
■更新履歴
【2004/1/1】初版公開。
【2018/2/5】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。
Copyright © ITmedia, Inc. All Rights Reserved.