[ホーム] >
[サイバー攻撃大辞典 トップ] > [強制ブラウジング(Forced browsing)]
作成日:2020/09/18
強制ブラウジング(Forced browsing)
強制ブラウジングとは
ブラウザよりURLを直接入力し、公開する意図が無い情報へ直接アクセスする。
通常のWebページではトップページからのリンクやボタンでWebを移動し閲覧するが、強制ブラウジングでは直接URLを入力する。管理機能のページを狙ったり、既存のファイル名から他のファイル名を予測したり、全くのランダムでファイルアクセスするなどの手法がある。
Webサーバでは要求されたファイルをアクセス権に基づき戻すため、それがリンクをクリックされたのか、あるいはアドレスバーに直接URLを入力されたのかを問わないのが一般的である。
攻撃例
・https://www.example.com/A00001502.png でユーザが投稿した画像が見れる場合、ブラウザで適当にhttps://www.example.com/A0000????.png と入力し(????は適当な4ケタの数字)他人の画像が閲覧可能か試行する。
・https://www.example.com/names.nsf で非公開情報である、システムのアドレス帳を開く。
対策
・Webサーバの公開情報ディレクトリ 以下に重要な情報は保存しない
・ファイルごとに適切なアクセス権を設定する
・不要なファイル、ディレクトリは削除する
・管理機能などのWebアクセスは無効化しファイルを削除する。やむおえず管理機能を設置するには、デフォルトのファイル名を変更したり、ポート番号を変更する。
[ホーム] >
[サイバー攻撃大辞典 トップ] > [強制ブラウジング(Forced browsing)]
本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。
このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) securitychecklist.net 2015 - 2020