認証回避について説明していきます。
■概要
認証回避は、本来ログインが必要な機能やページに対して、ログインせずに不正にアクセスする攻撃です。
Webアプリケーションなどで認証機構の実装に不備がある場合、攻撃者がそれを悪用して本人確認を回避し、他人のアカウントや管理機能にアクセスできてしまいます。
■想定される被害
認証回避によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。
・他人のアカウントへの不正アクセス
・管理者権限での操作
・機密情報の流出
■対策
認証回避の対策として挙げられるものは以下のようなものとなります。
・ログインページだけでなく、保護されたすべてのURL・APIでセッションやトークンの検証を行う。
・セッション固定攻撃を防ぐため、ログイン時にセッションIDを再発行する。
・クライアントからのパラメータ(例:user=admin)を信用せず、サーバー側で認証済みのユーザー情報から処理を行う。