[サイバー攻撃大辞典 トップへ]

強制ブラウジング


スポンサー リンク

説明


・ブラウザよりURLを直接入力し、公開する意図が無い情報へ直接アクセスする。
・通常のWebページではトップページからのリンクやボタンでWebを移動し閲覧するが、強制ブラウジングではなく直接URLを入力する。管理機能のページを狙ったり、既存のファイル名から他のファイル名を予測したり、全くのランダムでファイルアクセスするなどの手法がある。


攻撃例


・https://www.example.com/A00001502.png でユーザが投稿した画像が見れる場合、ブラウザで適当にhttps://www.example.com/A0000????.png と入力し(????は適当な4ケタの数字)他人の画像が閲覧可能か試行する。
・https://www.example.com/names.nsf で非公開情報である、システムのアドレス帳を開く。


対策


・Webサーバの公開情報ディレクトリ 以下に重要な情報は保存しない
・ファイルごとに適切なアクセス権を設定する
・不要なファイル、ディレクトリは削除する
・管理機能などのWebアクセスは無効化しファイルを削除する。やむおえず管理機能を設置するには、デフォルトのファイル名を変更したり、ポート番号を変更する。


スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917