アプリケーションの攻撃パターン - 1) URLパラメータの改ざん

URLパラメータとは、
アドレスバー・URL例
というように、URL末尾に「?」以降に付加されてやりとりされるパラメータです。URLパラメータは、ブラウザ側からユーザ入力情報を送信する時に、GETメソッドを使用した場合に表示されます。GETメソッドは実装が手軽ですが、パラメータがアドレスバーに常に表示されるほか、サーバのアクセスログなどにもHTTPトラフィックの内容が記録されるため、セキュリティ上の危険を伴う場合があります。

URLパラメータの改ざんとは、このURLに付加されるパラメータ(URLパラメータ)をアドレスバーから直接改ざんし、不正なアクセスを行う攻撃です。
以下に具体例を示します。
右図のアドレスバーには、userというパラメータがURLパラメータとして表示されています。
(図1-1)

図1-1

URLパラメータの改ざんは非常に簡単で、例えばこのuserの値をアドレスバーから直接以下のように入力します。
アドレスバー・URL例
その結果、登録されているすべてのユーザ情報が表示されてしまいました。 (図1-2、1-3)

図1-2

図1-2

図1-3

図1-3

URLパラメータは「ユーザが入力したパラメータの送信」「Webページ間のパラメータ受渡し」「Webアプリケーションへのパラメータ付きリンク」などを実現するためには非常に便利な機能です。しかし、その情報は前述の通りURLの一部として表示され容易に改ざんが可能です。また、サーバやファイアウォールのログやブラウザのキャッシュなどさまざまな箇所に記録されてしまうことを忘れてはいけません。情報の重要度を吟味し、外部に露出してはならない情報はPostメソッドで送信するなど、GetとPostの使い分けが肝心です。


Rational AppScanは、International Business Machines Corporationの米国および他の国々における登録商標です。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。

AppScanに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業2課

    03-4405-7814

メールでのお問い合わせ
watchfire@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。