強制ブラウズについて説明していきます。
■概要
強制ブラウズは、本来ユーザーがアクセスするべきではないページやファイルに対して、URLを直接指定することで不正にアクセスする攻撃手法です。
ユーザーがクリックするリンクやメニューには表示されていないが、サーバー側には存在している「隠れたリソース(管理ページ、設定ファイル、ログ、バックアップなど)」にアクセスできてしまう場合に発生します。
■想定される被害
強制ブラウズによって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。
・他人の個人情報や注文履歴への不正アクセス
・本来閲覧・操作できない機能の利用(管理画面、内部設定変更など)
・機密情報の流出
■対策
強制ブラウズの対策として挙げられるものは以下のようなものとなります。
・URLやリソースにアクセスするたびに、サーバー側で「このユーザーはアクセスして良いか」を必ず検証する。
・予測されにくいURL設計にする。