main
用語辞典索引 index
大規模災害年表
Forceful Browsing
Forceful Browsingとは、ウェブのサービスで提供されている認証を回避して、ブラウザで行う強制的なアクセス方法です。
ブラウザに表示された画面を構成するHTMLファイルを修正して、CGIの脆弱性を狙って認証を回避させる方法から、ブラウザ側のマシンに保存されているクッキー(cookie)情報を改ざんして情報を読み出す方法などがあります。ウェブサーバの内部情報を引き出すことによって、システムの詳細を知り、ウェブのサービスを提供しているサーバのセキュリティホールを発見する手がかりとしても利用されます。この方法で、利用者を識別するID、会員一覧ファイルの場所が明らかになった場合、IDを書き換えて他人になりすましてアクセスすることによって、他人の情報を閲覧することが可能となります。

防止策としては、サービス設計時に、利用者が故意に改ざんできる情報(クッキー)が、直接サービスで利用するIDにしないことが挙げられます。
関連用語

▲  このページのトップに戻る  ▲