F5 BIG-IP Application Security Manager(旧TrafficShield)
アプリケーションの攻撃パターン - 1) URLパラメータの改ざん
URLパラメータとは、
というように、URL末尾に「?」以降に付加されてやりとりされるパラメータです。URLパラメータは、ブラウザ側からユーザ入力情報を送信する時に、 GETメソッドを使用した場合に表示されます。GETメソッドは実装が手軽ですが、パラメータがアドレスバーに常に表示されるほか、サーバのアクセスログなどにもHTTPトラフィックの内容が記録されるため、セキュリティ上の危険を伴う場合があります。
URLパラメータの改ざんとは、このURLに付加されるパラメータ(URLパラメータ)をアドレスバーから直接改ざんし、不正なアクセスを行う攻撃です。
以下に具体例を示します。
URLパラメータの改ざんとは、このURLに付加されるパラメータ(URLパラメータ)をアドレスバーから直接改ざんし、不正なアクセスを行う攻撃です。
以下に具体例を示します。
; "パラメータの改ざん 図1-1")
図1-1 クリックすると拡大図が表示されます
URLパラメータの改ざんは非常に簡単で、例えばこのuserの値をアドレスバーから直接以下のように入力します。
その結果、登録されているすべてのユーザ情報が表示されてしまいました。 (図1-2、1-3)
図1-2
; "パラメータの改ざん 図1-3")
図1-3 クリックすると拡大図が表示されます
URLパラメータは「ユーザが入力したパラメータの送信」「Webページ間のパラメータ受渡し」「Webアプリケーションへのパラメータ付きリンク」などを実現するためには非常に便利な機能です。しかし、その情報は前述の通りURLの一部として表示され容易に改ざんが可能です。また、サーバやファイアウォールのログやブラウザのキャッシュなどさまざまな箇所に記録されてしまうことを忘れてはいけません。情報の重要度を吟味し、外部に露出してはならない情報はPostメソッドで送信するなど、GetとPostの使い分けが肝心です。
BIG-IP製品、FirePass、ARX、WANJet およびF5は、F5 Networks, Inc の商標、または登録商標です。
本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 製品仕様は予告なしに変更される場合があります。
本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 製品仕様は予告なしに変更される場合があります。