強制的ブラウズ (読み:キョウセイテキブラウジング)
- 英語名
- Forceful Browsing
正規のURLからバックアップファイルや隠しファイルのURLを推測し情報の取得を
試みたり、
正当なユーザ認証などを通らずに強制的にファイルやディレクトリにアクセスしようとする行為。
補足と見解
「インターネット上で個人情報が閲覧可能な状態にあった」
情報漏洩事件の報道記事でよく目にするくだりですね。
これは、なんらかの理由(人為的ミスである場合が多い)により、重要なデータが外部公開されている
ディレクトリ上に誤って配置されたことが原因です。
もちろん、他のページからリンクされているわけではありません。
しかし、悪意を持つユーザはバックアップファイルや隠しファイルなどの
重要データを取得しようと
正規のURLに手を加え、アクセスを試みます。
実際に(もちろん悪意はない)ユーザの皆さんも試した経験があるのではないでしょうか?
例えば以下のURLがあるとします。
http://www.example.com/user/mako/050808/content01
このURLは、いろいろなことを試してみたくなる衝動を駆り立てます。
例えば
(1) ユーザ名と思しき mako を taro など別の値に書き換える。
(2) 日時と思しき 050808 を 050809 など別の値に書き換える。
(3) content01 を content02 に書き換える。
(4) http://www.example.com/user/mako/050808/ にアクセス。
(5) http://www.example.com/user/mako/ にアクセス。
(6) http://www.example.com/user/ にアクセス。
などなど。
これらは不正な行為と呼べるものではありませんが、原理は同じです。
さらには、会員制のWEBサイトで、ユーザーIDなどの個人を特定できる文字列を含むURLを書き換えたり、
Cookieを改ざんすることで、正規のユーザーになりすまして情報の窃取、プログラムを不正に実行するなどの攻撃も考えられます。
誰にも見せないつもりが、会員だけのつもりが誰からも閲覧可能な状態だったということにならないためにも、WEBサイトやディレクトリの設計段階から十分な対応を検討する必要があります。