アプリケーションの攻撃パターン - 3) 強制ブラウズ

強制ブラウズとは、Webページ上からリンクを辿るのではなく、アドレスバーからURLを直接入力して、本来システム側では公開していないはずのディレクトリやファイルなどにアクセスを試みて、強制的にブラウザに表示させてしまう攻撃です。強制ブラウズが引き起こされてしまう原因は、ディレクトリやファイルの配置ミスや、Webサーバの設定ミスなどの人的ミスによるものであり、決して複雑な脆弱性ではないのですが、過去に強制ブラウズをきっかけに個人情報漏えいした例は、数多く報告されています。

強制ブラウズにはいくつか種類があります。

a) ディレクトリ・リスティング
アドレスバーから以下のようなURLを入力したとします。

URL例

これは、ルート・ディレクトリ配下のusr/というフォルダへのアクセスを意味します。この時、Webサーバ側の設定によっては、usr/フォルダ内のすべてのファイルがリスト表示されてしまう場合があります。Webサーバには、ディレクトリ・インデックスという機能が標準搭載されています。この機能が有効になっている状態で、上述のようなディレクトリへのアクセスが行われた場合、そのディレクトリ内のファイルを一覧表示してしまうことがあるからです。万が一、usr/フォルダ内に未公開の機密情報ファイルが存在した場合、ユーザは何の苦労もなく、そのファイルをローカルにダウンロード出来てしまいます。
b) URL推測
例えば、以下のようなURLが実在したとします。

URL例

これに対して攻撃者は、以下のような様々なURLを想像します。
攻撃者の想像するURL例

もちろんこれ以外にも、攻撃者は複数のパターンを組み合わせて様々なURLにアクセスしてくるでしょう。Webサイト上でどのページからもリンクされていなくても、さらに実在するかどうかにも関係なく、攻撃者は思いつく限りのパターンでアクセスを試みます。
この際ファイルに正しくアクセス権が設定されていなければ、結果として、機密情報ファイルに直接アクセスされる恐れがあります。
c) 放置されたHTMLコメント
Webアプリケーション開発時には、HTML中にコメントを書き添えることがよくあります。あるコードが何を意味しているのか、何のためのコードなのかを把握するためにメモを残しておくことで作業は効率化するのですが、開発を終えて出荷する際にこのコメントを削除し忘れた結果、攻撃者に有用な手がかりを与えてしまう場合があります。
例えば、右図(図3-1)のようなユーザに個人情報の入力を要求するページのソースを表示したところ、以下(図3-2)のようなコメントが残っていたとします。

強制ブラウズ 図3-1

図3-1 個人情報を入力するWebページ

強制ブラウズ 図3-2 ページのソース 

図3-2 ページのソース



Webからの入力情報を/private/usr.csvファイルに保存して、その情報を毎日午前4時にDBに自動的に書き加える、といった内容のコメントです。このコメントから/private/usr.csvファイルに個人情報が記入されていることが推測できてしまいます。もしもこのファイルのアクセス権が適切に設定されていなかった場合、Webブラウザからファイルにアクセスするだけで、ユーザの個人情報はいとも簡単に漏洩してしまうことでしょう。


Rational AppScanは、International Business Machines Corporationの米国および他の国々における登録商標です。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。

AppScanに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業2課

    03-4405-7814

メールでのお問い合わせ
watchfire@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。