【情報セキュリティ】隠れたファイルを暴き出す!「強制ブラウズ」|情報処理問題1000本ノック
Webサイトには、トップページからリンクされていない「非公開」のリソースが存在することがあります。それらを直接指定して閲覧しようとする攻撃手法を攻略しましょう。
1. 問題:非公開リソースへの直接アクセス
【 問題 】 Webサーバ上の、本来公開を意図していないファイルやディレクトリに対して、URLを直接入力したり推測したりすることでアクセスを試みる攻撃手法を何と呼ぶでしょうか?
ア、クロスサイトスクリプティング イ、強制ブラウズ ウ、セッションハイジャック エ、ディレクトリトラバーサル
2. 正解:攻撃手法に関する正解
正解: イ、強制ブラウズ
3. 解説:推測と露出が悪用される
強制ブラウズ(Forced Browsing)は、リンクを辿るのではなく、攻撃者が「ありそうなファイル名」を直接ブラウザに入力することで、機密情報や管理画面にアクセスする行為です。
【図解:強制ブラウズの主な原因】
■ ディレクトリ・インデックスの表示
・Webサーバの設定不備により、ファイル一覧が表示され、そこから非公開ファイルへ辿られてしまう。
■ URLの推測
・「/admin/」や「/backup/db.zip」など、他のURLから容易に推測可能な名前が付けられている。
■ 認証の欠如
・「リンクされていない=見つからない」という前提で、重要なファイルにアクセス制限(認証)をかけていない。
■ ディレクトリ・インデックスの表示
・Webサーバの設定不備により、ファイル一覧が表示され、そこから非公開ファイルへ辿られてしまう。
■ URLの推測
・「/admin/」や「/backup/db.zip」など、他のURLから容易に推測可能な名前が付けられている。
■ 認証の欠如
・「リンクされていない=見つからない」という前提で、重要なファイルにアクセス制限(認証)をかけていない。
[ 防御のポイント ]
★ 適切なアクセス制御:URLを知っていれば誰でも見られる状態を避け、認証・認可を徹底する。
★ サーバ設定の最適化:ディレクトリ一覧表示(Indexing)を無効にする。
★ 不要なファイルの削除:バックアップファイルや古い設定ファイルをサーバ上に放置しない。
★ 適切なアクセス制御:URLを知っていれば誰でも見られる状態を避け、認証・認可を徹底する。
★ サーバ設定の最適化:ディレクトリ一覧表示(Indexing)を無効にする。
★ 不要なファイルの削除:バックアップファイルや古い設定ファイルをサーバ上に放置しない。
1. 理解のコツ: 「正面玄関(トップページ)を通らず、裏窓や勝手口(直接URL入力)から入ろうとする」行為をイメージしてください。名前が似ている「ディレクトリトラバーサル」は、「../」などを用いて上位階層へ遡る攻撃であり、強制ブラウズとは区別されます。
2. 試験対策の視点: 「公開されていないリソースへアクセスされる」「URLの推測」といった記述があれば強制ブラウズを指します。Webサーバのセキュリティ設定(ApacheやNginxの構成ファイル)に関する問題とも関連が深いです。
4. まとめ
「Webサーバの非公開リソースへ、URL推測等でアクセスする」。これが強制ブラウズです。「隠しているから安全」という考えを捨て、適切なアクセス権限の設定と、サーバ側の露出管理を行うことが防衛の基本です。
PR